Archivo de configuración de secretos

En este documento se describen los campos de un archivo de configuración de secretos. Utilizas un archivo de configuración de secretos cuando creas secretos preparados.

Un archivo de configuración de secretos contiene un conjunto de grupos de secretos. Cada grupo tiene el nombre de un espacio de nombres de Kubernetes y credenciales para uno o varios de los siguientes elementos:

• Servidor de vCenter
• F5 BIG-IP
• Una cuenta de servicio de acceso a componentes
• Una cuenta de servicio de conexión y registro
• Una cuenta de servicio de registro y monitorización
• Una cuenta de servicio de registro de auditoría
• Una cuenta de servicio de medición del uso
• Registro privado

Proporciona un archivo de configuración de secretos como entrada para el comando gkectl create secrets. Por cada grupo de secretos, el comando crea secretos de Kubernetes: un secreto por cada una de las credenciales del grupo. El comando crea los secretos en un clúster de administrador en el espacio de nombres de Kubernetes especificado.

Para empezar, crea una plantilla para tu archivo de configuración de Secrets:

gkectl create-config secrets

Plantilla

apiVersion: v1
kind: ClusterSecrets
# List of secret groups; for admin clusters it allows only one group
secretGroups:
# (Required for user clusters only) A unique name for secret namespace; it needs to
# have prefix 'gke-onprem-secrets-' (example: gke-onprem-secrets-test)
‐ namespace: ""
  # Secrets in this namespace
  secrets:
    # The credentials for vCenter
    vCenter:
      username: ""
      password: ""
    # The credentials for f5BigIP
    f5BigIP:
      username: ""
      password: ""
    # The GCP service account key used to pull GKE images
    componentAccessServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to register the cluster
    registerServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send logs and metrics from the cluster
    stackdriverServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send audit logs from the cluster
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: ""
    # The credentials for private registry
    privateRegistry:
      username: ""
      password: ""  

Rellenar los campos de un archivo de configuración de secretos

secretGroups

Es una matriz de objetos. Cada objeto tiene el nombre de un espacio de nombres de Kubernetes y un conjunto de credenciales.

En un clúster de administrador, solo se permite un grupo de secretos.

secretGroups[i].namespace

Solo clúster de usuarios.

El nombre que elijas para un espacio de nombres de Kubernetes que contendrá un conjunto de secretos. El nombre debe empezar por gke-onprem-secrets-.

Ejemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    ...
- namespace: "gke-onprem-secrets-alice"
  secrets:
    ...

secretGroups[i].secrets.vCenter

El nombre de usuario y la contraseña de una cuenta de vCenter.

Ejemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    vCenter:
      username: "vc-bob"
      password: "U$icUKEW#INE"

secretGroups[i].secrets.f5BigIP

El nombre de usuario y la contraseña de una cuenta de F5 BIG-IP.

Ejemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    f5BigIP:
      username: "f5-bob"
      password: "exvQVx^@L%F1"

secretGroups[i].secrets.componentAccessServiceAccount.serviceAccountKeyPath

Ruta de un archivo de clave JSON de una cuenta de servicio de acceso a componentes.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-folder/component-access-key.json"

secretGroups[i].secrets.registerServiceAccount.serviceAccountKeyPath

Ruta de un archivo de clave JSON de una cuenta de servicio de conexión y registro.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    registerServiceAccount:
      serviceAccountKeyPath: "my-folder/connect-register-key.json"

secretGroups[i].secrets.stackdriverServiceAccount.serviceAccountKeyPath

Ruta de un archivo de clave JSON de una cuenta de servicio de registro y monitorización.

Ejemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-folder/log-mon-key.json"

secretGroups[i].secrets.cloudAuditLoggingServiceAccount.serviceAccountKeyPath

Ruta de un archivo de clave JSON de una cuenta de servicio de registro de auditoría.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-folder/audit-log-key.json"

secretGroups[i].secrets.privateRegistry

El nombre de usuario y la contraseña del registro privado si se usa el registro privado.

Ejemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    privateRegistry:
      username: "registry-user-bob"
      password: "f[vuV3^@L*4g"