Actualiza el agente de Connect de un clúster

En esta página, se describe cómo actualizar la versión del agente de Connect o rotar la clave de cuenta de servicio del agente de Connect.

Actualizaciones del agente de Connect

El agente de Connect se actualiza automáticamente de manera periódica sin generar interrupciones.

Sin embargo, también puedes actualizar el agente de Connect a la versión más reciente de forma manual registrando un clúster. gcloud recupera el último agente de Connect disponible y lo vuelve a instalar en el clúster.

Rota la clave de la cuenta de servicio del agente de Connect

Es una buena idea rotar con regularidad las credenciales de larga duración, como las claves de cuenta de servicio. Para rotar la clave de cuenta de servicio que usa el agente de Connect, sigue estos pasos:

  1. Prepárate:

    PROJECT=[PROJECT_ID]
    NAMESPACE=$(kubectl get ns -o jsonpath={.items..metadata.name} -l hub.gke.io/project)
    SERVICE_ACCOUNT=$(kubectl get secrets -n $NAMESPACE creds-gcp \
    -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep client_email \
    | awk '{print $2}' | tr -d '",')
    OLD_KEY_ID=$(kubectl get secrets -n $NAMESPACE creds-gcp \
    -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep private_key_id \
    | awk '{print $2}' | tr -d '",')
    

    En el ejemplo anterior, [PROJECT_ID] es el ID único de tu proyecto. Puedes encontrarlo en la consola de Google Cloud o mediante la ejecución de gcloud config get-value project.

  2. Crea una clave nueva:

    gcloud iam service-accounts keys create --iam-account=$SERVICE_ACCOUNT creds-gcp.json
    

  3. Reemplaza la clave existente en el agente:

    Esto hará que el agente se reinicie con el secreto nuevo y se restablezca el túnel con credenciales nuevas.

    kubectl create secret -n $NAMESPACE generic creds-gcp \
    --from-file=./creds-gcp.json --dry-run -o yaml  | kubectl replace -f  -
    
  4. Verifica tus registros en el Pod del agente para asegurarte de que se vuelva a conectar:

    kubectl logs -n $NAMESPACE -l app=gke-connect-agent
    

  5. Borra la clave antigua:

    gcloud iam service-accounts keys delete --iam-account=$SERVICE_ACCOUNT $OLD_KEY_ID
    

  6. Borra la copia local de la clave nueva:

    Te sugerimos que no conserves la clave. Si pierdes la clave y necesitas volver a instalar el agente, te recomendamos que la rotes.

    shred creds-gcp.json