Auf dieser Seite wird beschrieben, wie Sie eine SSH-Verbindung zu einem Google Distributed Cloud-Clusterknoten herstellen.
Diese Seite richtet sich an IT-Administratoren und ‑Betreiber, die den Lebenszyklus der zugrunde liegenden technischen Infrastruktur verwalten. Weitere Informationen zu gängigen Rollen und Beispielaufgaben, auf die wir in Google Cloud Inhalten verweisen, finden Sie unter Häufig verwendete GKE-Nutzerrollen und -Aufgaben.
Beschränkungen
Die SSH-Schlüssel für Nutzer- und Administratorcluster können nach dem Erstellen des Clusters nicht mehr geändert oder rotiert werden. Wenn Ihre Sicherheitsrichtlinien eine regelmäßige Schlüsselrotation von SSH-Schlüsseln erfordern, erstellen Sie den Cluster neu, um einen neuen SSH-Schlüssel zu generieren.
Hinweis
Zum Ausführen dieser Schritte benötigen Sie den Speicherort Ihrer kubeconfig-Dateien mit den Nutzer- und Administratorclustern. Standardmäßig werden diese Dateien in dem Verzeichnis gespeichert, in dem Sie Ihre Administrator- und Nutzercluster erstellt haben.
Weitere Informationen zu kubeconfig finden Sie in der GKE-Dokumentation unter Clusterzugriff für "kubectl" konfigurieren.
IP-Adressen der Clusterknoten abrufen
Rufen Sie die IP-Adressen der Nutzerclusterknoten ab:
kubectl --kubeconfig [USER_CLUSTER_KUBECONFIG] get nodes --output wide
Dabei ist [USER_CLUSTER_KUBECONFIG] der Pfad der kubeconfig-Datei Ihres Nutzerclusters.
Rufen Sie die IP-Adressen Ihrer Administratorclusterknoten ab:
kubectl --kubeconfig [ADMIN_CLUSTER_KUBECONFIG] get nodes --output wide
Dabei ist [ADMIN_CLUSTER_KUBECONFIG] der Pfad der kubeconfig-Datei Ihres Administratorclusters.
Beachten Sie für jeden Befehl das Feld INTERNAL-IP. Dies sind die Knoten-IP-Adressen. Das Feld NAME enthält den Namen des Nutzerclusters mit einer angehängten eindeutigen ID. Beispielsweise ist der Knoten mit dem Namen my-user-cluster-12345678-abcdef Teil des Nutzerclusters namens my-user-cluster.
SSH-Verbindung zu einem Clusterknoten herstellen
Rufen Sie den SSH-Schlüssel für einen Nutzercluster ab:
kubectl --kubeconfig [ADMIN_CLUSTER_KUBECONFIG] get secrets -n [USER_CLUSTER_NAME] ssh-keys \
-o jsonpath='{.data.ssh\.key}' | base64 -d > \
~/.ssh/[USER_CLUSTER_NAME].key && chmod 600 ~/.ssh/[USER_CLUSTER_NAME].keywobei
[ADMIN_CLUSTER_KUBECONFIG] ist der Pfad der kubeconfig-Datei Ihres Administratorclusters.
[USER_CLUSTER_NAME] ist der Name Ihres Nutzerclusters. Sie haben diesen Namen beim Erstellen eines Nutzerclusters angegeben.
Dieser Befehl führt die folgenden Schritte aus:
Rufen Sie im Administratorclusters das Feld
ssh.keyeines Secret namensssh-keysim Namespace [USER_CLUSTER_NAME] ab.Base64 decodiert den Schlüssel.
Speichern Sie den decodierten Schlüssel in der Datei
~/.ssh/[USER_CLUSTER_NAME].key.Legen Sie die entsprechenden Zugriffsberechtigungen für die Schlüsseldatei fest.
Verwenden Sie den Schlüssel, um eine SSH-Verbindung zu einem Nutzerclusterknoten herzustellen:
ssh -i ~/.ssh/[USER_CLUSTER_NAME].key anthos@[USER_NODE_IP]
Dabei ist [USER_NODE_IP] die interne IP-Adresse eines Knotens in Ihrem Nutzercluster, die Sie zuvor abgerufen haben.
SSH verwenden, um eine Verbindung zu einem Administrator-Clusterknoten herzustellen
Den SSH-Schlüssel für den Administrator-Cluster abrufen:
kubectl --kubeconfig [ADMIN_CLUSTER_KUBECONFIG] get secrets -n kube-system sshkeys \
-o jsonpath='{.data.vsphere_tmp}' | base64 -d > \
~/.ssh/admin-cluster.key && chmod 600 ~/.ssh/admin-cluster.key
Dabei ist [ADMIN_CLUSTER_KUBECONFIG] der Pfad der kubeconfig-Datei des Administratorclusters.
Dieser Befehl führt die folgenden Schritte aus:
Rufen Sie im Administratorclusters das Feld
vsphere_tmpeines Secret namenssshkeysim Namespacekube-system.Base64 decodiert das
vsphere_tmp-Feld, das der Schlüssel ist.Speichern Sie den decodierten Schlüssel in der Datei
~/.ssh/admin-cluster.key.Legen Sie die entsprechenden Zugriffsberechtigungen für die Schlüsseldatei fest.
Verwenden Sie den Schlüssel, um eine SSH-Verbindung zu einem Administratorclusterknoten herzustellen:
ssh -i ~/.ssh/admin-cluster.key anthos@[ADMIN_NODE_IP]
Dabei ist [ADMIN_NODE_IP] die interne IP-Adresse eines Knotens im Administrator-Cluster, die Sie zuvor abgerufen haben.