Como atualizar o agente do Connect em um cluster

Nesta página, você verá como atualizar a versão do agente do Connect ou alternar a chave da conta de serviço do agente do Connect.

Atualizações do agente do Connect

Periodicamente, o agente do Connect é atualizado automaticamente sem causar interrupções.

No entanto, também é possível atualizar manualmente o agente do Connect para a versão mais recente registrando um cluster. gcloud busca o agente do Connect mais recente disponível e o reinstala no cluster.

Alternar a chave da conta de serviço do agente do Connect

É recomendável alternar regularmente credenciais de longa duração, como chaves de conta de serviço. Para alternar a chave da conta de serviço que o agente do Connect usa, execute as seguintes etapas:

1. Prepare-se:

   PROJECT=[PROJECT_ID]
   NAMESPACE=$(kubectl get ns -o jsonpath={.items..metadata.name} -l hub.gke.io/project)
   SERVICE_ACCOUNT=$(kubectl get secrets -n $NAMESPACE creds-gcp \
   -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep client_email \
   | awk '{print $2}' | tr -d '",')
   OLD_KEY_ID=$(kubectl get secrets -n $NAMESPACE creds-gcp \
   -o jsonpath='{.data.creds-gcp\.json}' |  base64 -d | grep private_key_id \
   | awk '{print $2}' | tr -d '",')
   

   em que [PROJECT_ID] é o ID exclusivo do projeto. É possível encontrá-lo no console do Google Cloud ou executando gcloud config get-value project.

2. Criar uma nova chave:

   gcloud iam service-accounts keys create --iam-account=$SERVICE_ACCOUNT creds-gcp.json
   

3. Substitua a chave atual no agente:

   Isso fará com que o agente reinicie com o novo secret e restabeleça o túnel com novas credenciais.

   kubectl create secret -n $NAMESPACE generic creds-gcp \
   --from-file=./creds-gcp.json --dry-run -o yaml  | kubectl replace -f  -
   

4. Verifique seus registros no pod do agente para garantir que ele seja reconectado:

   kubectl logs -n $NAMESPACE -l app=gke-connect-agent
   

5. Exclua a chave antiga:

   gcloud iam service-accounts keys delete --iam-account=$SERVICE_ACCOUNT $OLD_KEY_ID
   

6. Exclua a cópia local da nova chave:

   Recomendamos que você não mantenha a chave. Se você perder a chave e precisar reinstalar o agente, recomendamos fazer a rotação da chave.

   shred creds-gcp.json