Halaman ini menjelaskan cara mengupdate versi Connect Agent, atau memutar kunci Akun Layanan Connect Agent.
Update Connect Agent
Secara berkala, Connect Agent akan otomatis diupdate tanpa mengganggu.
Namun, Anda juga dapat mengupdate Agen Connect secara manual ke versi terbaru
dengan Mendaftarkan cluster.
gcloud mengambil Agen Connect terbaru yang tersedia dan menginstalnya kembali di
cluster.
Memutar kunci Akun Layanan Connect Agent
Sebaiknya rotasikan kredensial jangka panjang seperti Kunci Akun Layanan secara berkala. Untuk merotasi kunci Akun Layanan yang digunakan Agen Connect, lakukan langkah-langkah berikut:
Bersiaplah:
PROJECT=[PROJECT_ID] NAMESPACE=$(kubectl get ns -o jsonpath={.items..metadata.name} -l hub.gke.io/project) SERVICE_ACCOUNT=$(kubectl get secrets -n $NAMESPACE creds-gcp \ -o jsonpath='{.data.creds-gcp\.json}' | base64 -d | grep client_email \ | awk '{print $2}' | tr -d '",') OLD_KEY_ID=$(kubectl get secrets -n $NAMESPACE creds-gcp \ -o jsonpath='{.data.creds-gcp\.json}' | base64 -d | grep private_key_id \ | awk '{print $2}' | tr -d '",')dengan [PROJECT_ID] adalah project ID unik project Anda. Anda dapat menemukannya di konsol Google Cloud, atau dengan menjalankan
gcloud config get-value project.Buat kunci baru:
gcloud iam service-accounts keys create --iam-account=$SERVICE_ACCOUNT creds-gcp.json
Timpa kunci yang ada di agen:
Tindakan ini akan menyebabkan agen dimulai ulang dengan secret baru dan membuat ulang tunnel dengan kredensial baru.
kubectl create secret -n $NAMESPACE generic creds-gcp \ --from-file=./creds-gcp.json --dry-run -o yaml | kubectl replace -f -
Periksa log Anda di pod agen untuk memastikannya terhubung kembali:
kubectl logs -n $NAMESPACE -l app=gke-connect-agent
Hapus kunci lama:
gcloud iam service-accounts keys delete --iam-account=$SERVICE_ACCOUNT $OLD_KEY_ID
Hapus salinan lokal kunci baru:
Sebaiknya jangan simpan kunci tersebut. Jika Anda kehilangan kunci dan perlu menginstal ulang agen, sebaiknya putar kunci.
shred creds-gcp.json