Connect-Agent in einem Cluster aktualisieren

Auf dieser Seite wird beschrieben, wie Sie die Version des Connect-Agents aktualisieren oder den Dienstkontoschlüssel des Connect-Agents rotieren.

Updates für Connect-Agent

Der Connect-Agent wird regelmäßig automatisch und unterbrechungsfrei aktualisiert.

Sie können den Connect-Agent auch manuell aktualisieren, indem Sie einen Cluster registrieren. gcloud ruft den neuesten verfügbaren Connect-Agent ab und installiert ihn im Cluster neu.

Connect-Agent-Dienstkontoschlüssel rotieren

Es wird empfohlen, langlebige Anmeldedaten wie Dienstkontoschlüssel regelmäßig zu rotieren. Führen Sie die folgenden Schritte aus, um den vom Connect Agent verwendeten Dienstkontoschlüssel zu rotieren:

1. Vorbereitung:

   PROJECT=[PROJECT_ID]
   NAMESPACE=$(kubectl get ns -o jsonpath={.items..metadata.name} -l hub.gke.io/project)
   SERVICE_ACCOUNT=$(kubectl get secrets -n $NAMESPACE creds-gcp \
   -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep client_email \
   | awk '{print $2}' | tr -d '",')
   OLD_KEY_ID=$(kubectl get secrets -n $NAMESPACE creds-gcp \
   -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep private_key_id \
   | awk '{print $2}' | tr -d '",')
   

   Dabei ist [PROJECT_ID] die eindeutige Projekt-ID Ihres Projekts. Sie finden sie in der Google Cloud Console oder durch Ausführen von gcloud config get-value project.

2. Neuen Schlüssel erstellen:

   gcloud iam service-accounts keys create --iam-account=$SERVICE_ACCOUNT creds-gcp.json
   

3. Überschreiben Sie den vorhandenen Schlüssel für den Agent:

   Dies führt dazu, dass der Agent mit dem neuen Secret neu gestartet wird und der Tunnel mit neuen Anmeldedaten wiederhergestellt wird.

   kubectl create secret -n $NAMESPACE generic creds-gcp \
   --from-file=./creds-gcp.json --dry-run -o yaml  | kubectl replace -f  -
   

4. Prüfen Sie Ihre Logs auf dem Pod des Agents, um sicherzustellen, dass die Verbindung wiederhergestellt wurde:

   kubectl logs -n $NAMESPACE -l app=gke-connect-agent
   

5. Löschen Sie den alten Schlüssel:

   gcloud iam service-accounts keys delete --iam-account=$SERVICE_ACCOUNT $OLD_KEY_ID
   

6. Löschen Sie die lokale Kopie des neuen Schlüssels:

   Wir empfehlen, den Schlüssel nicht aufzubewahren. Wenn Sie den Schlüssel verlieren und den Agent neu installieren müssen, empfehlen wir, stattdessen den Schlüssel zu rotieren.

   shred creds-gcp.json