Ficheiro de configuração de segredos

Este documento descreve os campos num ficheiro de configuração de Secrets. Usa um ficheiro de configuração de segredos quando cria segredos preparados.

Um ficheiro de configuração de segredos contém um conjunto de grupos de segredos. Cada grupo tem o nome de um espaço de nomes do Kubernetes e credenciais para um ou mais dos seguintes elementos:

• vCenter Server
• F5 BIG-IP
• Uma conta de serviço de acesso a componentes
• Uma conta de serviço de registo de associação
• Uma conta de serviço de registo e monitorização
• Uma conta de serviço de registo de auditoria
• Uma conta de serviço de medição da utilização
• Registo privado

Fornece um ficheiro de configuração de segredos como entrada para o comando gkectl create secrets. Para cada grupo secreto, o comando cria segredos do Kubernetes: um segredo para cada uma das credenciais no grupo. O comando cria os segredos num cluster de administrador no namespace do Kubernetes especificado.

Para começar, crie um modelo para o ficheiro de configuração de segredos:

gkectl create-config secrets

Modelo

apiVersion: v1
kind: ClusterSecrets
# List of secret groups; for admin clusters it allows only one group
secretGroups:
# (Required for user clusters only) A unique name for secret namespace; it needs to
# have prefix 'gke-onprem-secrets-' (example: gke-onprem-secrets-test)
‐ namespace: ""
  # Secrets in this namespace
  secrets:
    # The credentials for vCenter
    vCenter:
      username: ""
      password: ""
    # The credentials for f5BigIP
    f5BigIP:
      username: ""
      password: ""
    # The GCP service account key used to pull GKE images
    componentAccessServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to register the cluster
    registerServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send logs and metrics from the cluster
    stackdriverServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send audit logs from the cluster
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: ""
    # The credentials for private registry
    privateRegistry:
      username: ""
      password: ""  

Preencher os campos num ficheiro de configuração de Secrets

secretGroups

Uma matriz de objetos. Cada objeto tem o nome de um namespace do Kubernetes e um conjunto de credenciais.

Para um cluster de administrador, só é permitido um grupo de segredos.

secretGroups[i].namespace

Apenas cluster de utilizadores.

Um nome à sua escolha para um espaço de nomes do Kubernetes que vai conter um conjunto de segredos. O nome tem de começar por gke-onprem-secrets-.

Exemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    ...
- namespace: "gke-onprem-secrets-alice"
  secrets:
    ...

secretGroups[i].secrets.vCenter

O nome de utilizador e a palavra-passe de uma conta do vCenter.

Exemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    vCenter:
      username: "vc-bob"
      password: "U$icUKEW#INE"

secretGroups[i].secrets.f5BigIP

O nome de utilizador e a palavra-passe de uma conta F5 BIG-IP.

Exemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    f5BigIP:
      username: "f5-bob"
      password: "exvQVx^@L%F1"

secretGroups[i].secrets.componentAccessServiceAccount.serviceAccountKeyPath

O caminho de um ficheiro de chave JSON para uma conta de serviço de acesso a componentes.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-folder/component-access-key.json"

secretGroups[i].secrets.registerServiceAccount.serviceAccountKeyPath

O caminho de um ficheiro de chave JSON para uma conta de serviço de registo de associação.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    registerServiceAccount:
      serviceAccountKeyPath: "my-folder/connect-register-key.json"

secretGroups[i].secrets.stackdriverServiceAccount.serviceAccountKeyPath

O caminho de um ficheiro de chave JSON para uma conta de serviço de registo e monitorização.

Exemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-folder/log-mon-key.json"

secretGroups[i].secrets.cloudAuditLoggingServiceAccount.serviceAccountKeyPath

O caminho de um ficheiro de chave JSON para uma conta de serviço de registo de auditoria.

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-folder/audit-log-key.json"

secretGroups[i].secrets.privateRegistry

O nome de utilizador e a palavra-passe do registo privado, se estiver a usar o registo privado.

Exemplo:

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    privateRegistry:
      username: "registry-user-bob"
      password: "f[vuV3^@L*4g"