Google Distributed Cloud menggunakan sertifikat dan kunci pribadi untuk mengautentikasi dan mengenkripsi koneksi antar-komponen sistem dalam cluster. Otoritas sertifikat (CA) cluster mengelola sertifikat dan kunci ini. Saat Anda menjalankan perintah bmctl
update credentials certificate-authorities rotate,
Google Distributed Cloud akan melakukan tindakan berikut:
Perintah ini membuat dan mengupload certificate authority (CA) cluster baru untuk CA cluster, CA etcd, dan CA front-proxy ke namespace cluster pengguna di cluster admin.
Pengontrol cluster admin menggantikan otoritas sertifikat cluster pengguna dengan otoritas sertifikat yang baru dibuat.
Pengontrol cluster admin mendistribusikan sertifikat CA publik baru dan pasangan kunci sertifikat leaf ke komponen sistem cluster pengguna.
Perintah ini juga memperbarui Secret
stackdriver-prometheus-etcd-scrape, yang dibuat oleh Google Distributed Cloud selama pembuatan cluster. Prometheus memerlukan secret ini untuk mengumpulkan metrik etcd.
Untuk mempertahankan komunikasi cluster yang aman, ganti CA cluster pengguna Anda secara berkala dan setiap kali ada kemungkinan pelanggaran keamanan.
Sebelum memulai
Sebelum merotasi otoritas sertifikat cluster Anda, rencanakan sesuai dengan kondisi dan dampak berikut:
Pastikan cluster admin dan pengguna berada di versi 1.9.0 atau yang lebih tinggi sebelum memulai rotasi CA.
Rotasi CA bersifat inkremental, sehingga memungkinkan komponen sistem berkomunikasi selama rotasi.
Rotasi CA memulai ulang server API, proses bidang kontrol lainnya, dan setiap node di cluster beberapa kali. Setiap tahap rotasi CA berlangsung serupa dengan upgrade cluster. Meskipun cluster pengguna tetap beroperasi selama rotasi CA, Anda harus memperkirakan bahwa workload akan dimulai ulang dan dijadwalkan ulang.
Jika cluster pengguna Anda tidak memiliki bidang kontrol dengan ketersediaan tinggi, Anda dapat memperkirakan periode singkat saat bidang kontrol tidak beroperasi selama rotasi CA.
Operasi pengelolaan cluster tidak diizinkan selama rotasi CA.
Durasi rotasi CA bergantung pada ukuran cluster Anda. Misalnya, rotasi CA dapat memerlukan waktu hampir dua jam untuk diselesaikan pada cluster dengan satu bidang kontrol dan 50 worker node.
Batasan
Kemampuan rotasi certificate authority memiliki batasan berikut:
Rotasi CA tidak memperbarui sertifikat yang dikeluarkan secara manual oleh administrator, meskipun CA cluster menandatangani sertifikat. Perbarui dan distribusikan ulang sertifikat yang diterbitkan secara manual setelah rotasi CA cluster pengguna selesai.
Setelah dimulai, rotasi CA tidak dapat dijeda atau di-roll back.
Memulai rotasi CA cluster
Secara default, sertifikat TLS memiliki periode habis masa berlaku 1 tahun. Google Distributed Cloud memperpanjang sertifikat ini saat Anda merotasi otoritas sertifikat. Google Distributed Cloud juga memperpanjang sertifikat TLS selama upgrade cluster. Sebaiknya upgrade cluster Anda secara rutin agar tetap aman, didukung, dan untuk mencegah masa berlaku sertifikat TLS berakhir.
Gunakan perintah berikut untuk memulai proses rotasi CA:
bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
--kubeconfig KUBECONFIG
Ganti kode berikut:
CLUSTER_NAME: nama cluster yang ingin Anda ganti CA-nya.KUBECONFIG: jalur ke file kubeconfig cluster admin. Untuk cluster yang dikelola sendiri, file ini adalah file kubeconfig cluster.
Perintah bmctl akan keluar setelah CA berhasil dirotasi dan file kubeconfig baru dibuat. Jalur standar untuk file kubeconfig adalah
bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.
Memecahkan masalah rotasi CA cluster
Perintah bmctl update credentials menampilkan progres rotasi CA.
File update-credentials.log terkait disimpan ke direktori yang diberi stempel waktu berikut:
bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP