Halaman ini menjelaskan cara mengupdate versi Connect Agent, atau merotasi kunci Akun Layanan Connect Agent.
Info terbaru Connect Agent
Secara berkala, Agen Connect diupdate secara otomatis dan tanpa gangguan.
Namun, Anda juga dapat memperbarui Agen Connect secara manual ke versi terbaru
dengan Mendaftarkan cluster.
gcloud
mengambil Agen Connect terbaru yang tersedia dan menginstalnya ulang di
cluster.
Merotasi kunci Akun Layanan Connect Agent
Sebaiknya rotasikan kredensial yang berumur panjang secara rutin seperti kunci Akun Layanan. Untuk merotasi kunci Akun Layanan yang digunakan Connect Agent, lakukan langkah-langkah berikut:
Bersiap:
PROJECT=[PROJECT_ID] NAMESPACE=$(kubectl get ns -o jsonpath={.items..metadata.name} -l hub.gke.io/project) SERVICE_ACCOUNT=$(kubectl get secrets -n $NAMESPACE creds-gcp \ -o jsonpath='{.data.creds-gcp\.json}' | base64 -d | grep client_email \ | awk '{print $2}' | tr -d '",') OLD_KEY_ID=$(kubectl get secrets -n $NAMESPACE creds-gcp \ -o jsonpath='{.data.creds-gcp\.json}' | base64 -d | grep private_key_id \ | awk '{print $2}' | tr -d '",')
dengan [PROJECT_ID] adalah project ID unik project Anda. Anda dapat menemukannya di Konsol Google Cloud, atau dengan menjalankan
gcloud config get-value project
.Buat kunci baru:
gcloud iam service-accounts keys create --iam-account=$SERVICE_ACCOUNT creds-gcp.json
Timpa kunci yang ada pada agen:
Tindakan ini akan menyebabkan agen memulai ulang dengan rahasia baru dan membangun kembali tunnel dengan kredensial baru.
kubectl create secret -n $NAMESPACE generic creds-gcp \ --from-file=./creds-gcp.json --dry-run -o yaml | kubectl replace -f -
Periksa log Anda di pod agen untuk memastikan pod agen terhubung kembali:
kubectl logs -n $NAMESPACE -l app=gke-connect-agent
Hapus kunci lama:
gcloud iam service-accounts keys delete --iam-account=$SERVICE_ACCOUNT $OLD_KEY_ID
Hapus salinan lokal kunci baru:
Sebaiknya jangan simpan kunci tersebut. Jika Anda kehilangan kunci dan harus menginstal ulang agen, sebaiknya putar kunci tersebut.
shred creds-gcp.json