En este tema, se describe cómo rotar las credenciales de seguridad de tu GKE en el servicio de administración de AWS y los clústeres de usuarios. Para obtener más información sobre las funciones de seguridad de GKE en AWS, consulta Seguridad.
Antes de comenzar
Para completar los pasos de esta página, debes tener acceso al directorio con tu configuración de GKE en AWS.
Certificados del servicio de administración
En esta sección, se describe cómo rotar los certificados de tu servicio de administración.
Autoridades certificadoras de administración
En esta sección, se explica cómo rotar los certificados de firma de la autoridad certificadora (CA) para los componentes de GKE en AWS.
CA raíz del servidor de API de administración
Para rotar la CA raíz del servidor de API, sigue estos pasos:
- Cambia al directorio con la configuración de GKE en AWS.
Creaste este directorio cuando
instalaste el servicio de administración.
cd anthos-aws
- Abre
anthos-gke.status.yaml
en un editor de texto. - Quita todos los valores en la clave
certificateAuthority
. Esto incluyeencryptedPrivateKey.kmsKeyARN
,encryptedPrivateKey.value
yencryptedPrivateKey.certificate
. Ejecuta
anthos-gke aws management init
para actualizar el archivoanthos-gke.status.yaml
.anthos-gke aws management init
Ejecuta
anthos-gke aws management apply
para actualizar el servicio de administración.anthos-gke aws management apply
- Desde tu directorio de
anthos-aws
, usaanthos-gke
para cambiar el contexto a tu servicio administrado.cd anthos-aws anthos-gke aws management get-credentials
Otras CA de administración
En esta sección, se describe cómo rotar todas las CA siguientes:
- CA de webhook de autenticación
- CA de Etcd
- CA del firmante de la cuenta de servicio
Puedes rotar estas CA con uno de los siguientes métodos:
Quita la sección
certificateAuthority
de tuanthos-gke.status.yaml
.- Cambia al directorio con la configuración de GKE en AWS.
Creaste este directorio cuando
instalaste el servicio de administración.
cd anthos-aws
- Abre
anthos-gke.status.yaml
en un editor de texto. - Quita todos los valores en la clave
certificateAuthority
. Esto incluyeencryptedPrivateKey.kmsKeyARN
,encryptedPrivateKey.value
yencryptedPrivateKey.certificate
. Ejecuta
anthos-gke aws management init
para actualizar el archivoanthos-gke.status.yaml
.anthos-gke aws management init
Ejecuta
anthos-gke aws management apply
para actualizar el servicio de administración.anthos-gke aws management apply
- Cambia al directorio con la configuración de GKE en AWS.
Creaste este directorio cuando
instalaste el servicio de administración.
Si hay una versión nueva de GKE en AWS disponible, actualiza el servicio administrado de GKE en AWS.
Vuelve a crear la instancia EC2 del servicio de administración.
- Desde tu directorio de
anthos-aws
, usaterraform
para obtener el ID del servicio de administración.cd anthos-aws terraform output cluster_id
El resultado incluye el ID del servicio de administración. En el siguiente ejemplo, el ID esgke-12345abc
.terraform output cluster_id
gke-12345abc - Abre la consola de AWS EC2.
- Haz clic en Instancias.
- Busca la instancia llamada
cluster-id-management-0
. - Selecciona Acciones -> Estado de la instancia -> Finalizar para quitar la instancia. EC2 crea automáticamente una instancia nueva con el mismo volumen de EBS.
- Desde tu directorio de
Claves y certificados de cliente/servidor de TLS de administración
Para rotar el cliente TLS, las claves y los certificados del servidor de tu servicio de administración, vuelve a crear tu instancia de servicio de administración. Para volver a crear la instancia, completa los pasos siguientes:
- Desde tu directorio de
anthos-aws
, usaterraform
para obtener el ID del servicio de administración.cd anthos-aws terraform output cluster_id
El resultado incluye el ID del servicio de administración. En el siguiente ejemplo, el ID esgke-12345abc
.terraform output cluster_id
gke-12345abc - Abre la consola de AWS EC2.
- Haz clic en Instancias.
- Busca la instancia llamada
cluster-id-management-0
. - Selecciona Acciones -> Estado de la instancia -> Finalizar para quitar la instancia. EC2 crea automáticamente una instancia nueva con el mismo volumen de EBS.
Cuentas de servicio de Google Cloud
Cuentas de servicio del servicio de administración
Para rotar las cuentas de servicio de Google Cloud de tu servicio de administración, realiza los siguientes pasos.
- Crea cuentas de servicio nuevas y descarga claves de cuenta de servicio mediante los pasos en Requisitos.
- Cambia al directorio con la configuración de GKE en AWS.
Creaste este directorio cuando instalaste el servicio de administración.
cd anthos-aws
Si descargaste las claves en una ruta de acceso diferente, abre el archivo
anthos-gke.yaml
en un editor de texto. Cambia el valor de.spec.googleCloud.serviceAccountKeys.managementService
,.status.googleCloud.serviceAccountKeys.connectAgent
y.spec.googleCloud.serviceAccountKeys.node
a las rutas nuevas.apiVersion: multicloud.cluster.gke.io/v1 kind: AWSManagementService metadata: name: management spec: googleCloud: serviceAccountKeys: managementService: MANAGEMENT_KEY_PATH connectAgent: CONNECT_KEY_PATH node: NODE_KEY_PATH ...
Ejecuta
anthos-gke aws management init
para actualizar el archivoanthos-gke.status.yaml
.anthos-gke aws management init
Ejecuta
anthos-gke aws management apply
para actualizar el servicio de administración.anthos-gke aws management apply
Cuentas de servicio del clúster de usuario
Para aplicar estas cuentas de servicio en AWSClusters y AWSNodePools, debes hacer lo siguiente:mejorar o borrar y, luego, volver a crear.
Certificados de clúster de usuario
En esta sección, se describe cómo rotar los certificados para tus clústeres de usuario.
CA del clúster de usuario y claves SSH
La mayoría de las CA para tus clústeres de usuario se crean cuando creas el clúster de usuario.
Cuando borras un clúster de usuario, GKE en AWS rota los siguientes certificados:
- CA raíz del servidor de la API
- CA de proxy principal de la API
- CA de etcd
- CA del firmante de la cuenta de servicio de Kubernetes
- Pares de claves SSH del plano de control a nodo
CA de webhook de autenticación del clúster de usuario
Para rotar la CA de webhook de autenticación del clúster de usuario, edita el archivo anthos-gke.status.yaml
y aplica los cambios.
- Cambia al directorio con la configuración de GKE en AWS.
Creaste este directorio cuando instalaste el servicio de administración.
cd anthos-aws
- Abre
anthos-gke.status.yaml
en un editor de texto. - Quita todos los valores en la clave
certificateAuthority
. Esto incluyeencryptedPrivateKey.kmsKeyARN
,encryptedPrivateKey.value
yencryptedPrivateKey.certificate
. Ejecuta
anthos-gke aws management init
para actualizar el archivoanthos-gke.status.yaml
.anthos-gke aws management init
Ejecuta
anthos-gke aws management apply
para actualizar el servicio de administración.anthos-gke aws management apply
Pares de claves y certificados TLS de clúster del usuario
GKE en AWS genera certificados y pares de claves TLS cuando se crea una instancia. A fin de rotar estos pares, recrea la instancia mediante los siguientes pasos para tu plano de control y grupos de nodos.
Plano de control
- Desde tu directorio de
anthos-aws
, usaanthos-gke
para cambiar el contexto a tu servicio administrado.cd anthos-aws anthos-gke aws management get-credentials
Usa
kubectl
para obtener el grupo de destino de AWS EC2 del plano de control desde tu AWSCluster.env HTTPS_PROXY=http://localhost:8118 \ kubectl get awscluster cluster-name \ -o jsonpath='{.status.targetGroupName}{"\n"}'
En el resultado, se incluye el nombre del grupo de destino de EC2 de tu plano de control. Por ejemplo,
gke-123456a7-controlplane
.Abre la consola de AWS EC2. Selecciona Grupos de destino en el panel izquierdo.
Haz clic en la barra de búsqueda y busca tu grupo de destino. Haz clic en el Nombre del grupo de destino y, luego, en Destinos. Aparecerá la lista de las instancias de tu plano de control.
Para cada instancia en el grupo de destino, realiza los siguientes pasos:
Haz clic en el ID de instancia de la instancia. Aparecerá la consola de las instancias de AWS EC2.
Haz clic en el ID de instancia.
Selecciona Acciones -> Estado de la instancia -> Finalizar para quitar la instancia. EC2 crea automáticamente una instancia nueva con el mismo volumen de EBS.
Regresa a la página Grupos de destino.
Después de finalizar todas las instancias en el grupo, regresa a la página Grupos de destino.
En la sección Destinos registrados de la página, busca la columna Estado. Cada una de las instancias debe tener un Estado de en buen estado. Si alguna de las instancias está en buen estado, espera varios minutos y haz clic en el ícono Actualizar (
).Después de que todas las instancias en el grupo de destino estén en buen estado, continúa con el siguiente paso.
Grupos de nodos
Para rotar los certificados TLS de tu grupo de nodos, sigue estos pasos:
- Desde tu directorio de
anthos-aws
, usaanthos-gke
para cambiar el contexto a tu servicio administrado.cd anthos-aws anthos-gke aws management get-credentials
Usa
kubectl
para obtener el grupo de destino de AWS EC2 de tu grupo de nodos desde tu AWSNodePool.env HTTPS_PROXY=http://localhost:8118 \ kubectl get awsnodepool -o jsonpath='{.items[*].status.autoScalingGroupName}{"\n"}'
La salida incluye el nombre del grupo de destino de EC2 del grupo de nodos. Por ejemplo,
gke-123456a7-nodepool-abc123
.Abre la consola de AWS EC2. Selecciona Grupos de destino en el panel izquierdo.
Haz clic en la barra de búsqueda y busca tu grupo de destino. Haz clic en el Nombre del grupo de destino y, luego, en Destinos. Aparecerá la lista de las instancias de tu plano de control.
Para cada instancia en el grupo de destino, realiza los siguientes pasos:
Haz clic en el ID de instancia de la instancia. Aparecerá la consola de las instancias de AWS EC2.
Haz clic en el ID de instancia.
Selecciona Acciones -> Estado de la instancia -> Finalizar para quitar la instancia. EC2 crea automáticamente una instancia nueva con el mismo volumen de EBS.
Regresa a la página Grupos de destino.
Después de finalizar todas las instancias en el grupo, regresa a la página Grupos de destino.
En la sección Destinos registrados de la página, busca la columna Estado. Cada una de las instancias debe tener un Estado de en buen estado. Si alguna de las instancias está en buen estado, espera varios minutos y haz clic en el ícono Actualizar (
).Después de que todas las instancias en el grupo de destino estén en buen estado, continúa con el siguiente paso.