Halaman ini menjelaskan cara mengupdate versi Agen Connect, atau merotasi kunci Connect Agent Service Account.
Info terbaru Connect Agent
Secara berkala, Agen Connect otomatis diupdate tanpa mengganggu.
Namun, Anda juga dapat mengupdate
Agen Connect ke versi terbaru secara manual
dengan Mendaftarkan cluster.
gcloud mengambil Agen Connect terbaru yang tersedia dan menginstal ulang di
.
Merotasi kunci Akun Layanan Connect Agent
Sebaiknya, rotasikan kredensial yang berumur panjang secara rutin seperti Service Kunci akun. Untuk mengganti kunci Akun Layanan yang digunakan Connect Agent, lakukan langkah-langkah berikut:
Bersiap:
PROJECT=[PROJECT_ID] NAMESPACE=$(kubectl get ns -o jsonpath={.items..metadata.name} -l hub.gke.io/project) SERVICE_ACCOUNT=$(kubectl get secrets -n $NAMESPACE creds-gcp \ -o jsonpath='{.data.creds-gcp\.json}' | base64 -d | grep client_email \ | awk '{print $2}' | tr -d '",') OLD_KEY_ID=$(kubectl get secrets -n $NAMESPACE creds-gcp \ -o jsonpath='{.data.creds-gcp\.json}' | base64 -d | grep private_key_id \ | awk '{print $2}' | tr -d '",')dengan [PROJECT_ID] adalah project ID unik project Anda. Anda dapat temukan ini di konsol Google Cloud, atau dengan menjalankan
gcloud config get-value project.Buat kunci baru:
gcloud iam service-accounts keys create --iam-account=$SERVICE_ACCOUNT creds-gcp.json
Timpa kunci yang ada di agen:
Hal ini akan menyebabkan agen memulai ulang dengan rahasia baru dan membuat kembali tunnel dengan kredensial baru.
kubectl create secret -n $NAMESPACE generic creds-gcp \ --from-file=./creds-gcp.json --dry-run -o yaml | kubectl replace -f -
Periksa log Anda di pod agen untuk memastikannya telah terhubung kembali:
kubectl logs -n $NAMESPACE -l app=gke-connect-agent
Hapus kunci lama:
gcloud iam service-accounts keys delete --iam-account=$SERVICE_ACCOUNT $OLD_KEY_ID
Hapus salinan lokal kunci baru:
Sebaiknya Anda tidak menyimpan kunci tersebut. Jika Anda kehilangan kunci dan harus instal ulang agen, sebaiknya rotasikan kunci.
shred creds-gcp.json