Para alternar as chaves da conta de serviço no Google Distributed Cloud, atualize as credenciais do cluster existentes com o comando bmctl. Esta rotação da chave da conta de serviço pode fazer parte dos seus processos regulares de atualização das credenciais ou em resposta a uma potencial exposição das chaves. Quando atualiza as credenciais do cluster, as novas informações são transmitidas aos clusters de administrador ou híbridos, ou encaminhadas automaticamente para os clusters de utilizadores afetados geridos por um cluster de administrador.
Credenciais do cluster que podem ser atualizadas
Os clusters do Google Distributed Cloud requerem várias credenciais quando são criados. Define as credenciais na configuração do cluster quando cria um cluster de administrador, autónomo ou híbrido. Os clusters de utilizadores, como mencionado anteriormente, são geridos por um cluster de administrador (ou um cluster híbrido que atua como administrador) e reutilizam as mesmas credenciais do cluster de administrador.
Para mais informações sobre a criação de clusters e os diferentes tipos de clusters, consulte Vista geral da instalação: escolher um modelo de implementação.
Pode atualizar as seguintes credenciais e os respetivos segredos nos clusters do Google Distributed Cloud com o comando bmctl:
- Chave privada de SSH: usada para acesso ao nó.
- Chave do Artifact Registry (
anthos-baremetal-gcr): chave da conta de serviço usada para autenticar com o Artifact Registry para extração de imagens. - Chave da conta de serviço do agente de ligação
(
anthos-baremetal-connect): chave da conta de serviço usada pelos pods do agente de ligação. - Chave da conta de serviço de registo de ligação
(
anthos-baremetal-register): chave da conta de serviço usada para autenticar com o Hub ao registar ou anular o registo de um cluster. - Chave da conta de serviço das operações na nuvem (
anthos-baremetal-cloud-ops): Chave da conta de serviço para autenticação com as APIs Google Cloud Observability (registo e monitorização).
Atualize as credenciais com bmctl
Quando cria clusters, o Google Distributed Cloud cria segredos do Kubernetes com base nas suas chaves de credenciais. Se gerar novas chaves, tem de atualizar os segredos correspondentes, conforme descrito nos passos seguintes. Se o nome ou o caminho das chaves mudar, também tem de atualizar o ficheiro de configuração do cluster correspondente.
Prepare os novos valores para as credenciais que quer atualizar:
Pode gerar novas chaves de contas de serviço Google através da CLI Google Cloud ou da Google Cloud consola.
Gere uma nova chave privada de SSH na estação de trabalho do administrador e certifique-se de que as máquinas dos nós do cluster têm a chave pública correspondente.
Atualize a secção de credenciais do ficheiro de configuração do cluster com os caminhos para as novas chaves.
Atualize os segredos do cluster correspondentes com o comando
bmctl update credentialse adicione as flags adequadas.O exemplo seguinte atualiza as credenciais de uma nova chave privada de SSH:
bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \ --cluster CLUSTER_NAME \ --ssh-private-key-path SSH_KEY_PATHSubstitua o seguinte:
ADMIN_KUBECONFIG: o caminho do ficheiro kubeconfig do cluster de autogestão ou do administrador.CLUSTER_NAME: o nome do cluster para o qual está a atualizar a chave SSH.SSH_KEY_PATH: o caminho do ficheiro de chave SSH. Por predefinição, obmctlverifica os ficheiros de chaves SSH e de contas de serviço especificados no ficheiro de configuração do cluster. Sebmctlencontrar um ficheiro de chave expirado, o comando falha. Se tiver o novo ficheiro de chave válido numa localização diferente da especificada no ficheiro de configuração, inclua a flag--ignore-validation-errorspara evitar esta falha.
Para uma lista completa dos sinalizadores que pode usar com o comando
bmctl update credentials, consulte update credentials nabmctlreferência de comandos.