Il prodotto descritto in questa documentazione, Anthos Clusters on AWS (generazione precedente), è ora in modalità di manutenzione. Tutte le nuove installazioni devono utilizzare il prodotto di generazione attuale, Anthos clusters on AWS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Rotazione delle credenziali di sicurezza

Questo argomento descrive come ruotare le credenziali di sicurezza per i cluster di gestione e utente di GKE su AWS. Per saperne di più sulle funzionalità di sicurezza di GKE su AWS, consulta Sicurezza.

Prima di iniziare

Per completare i passaggi descritti in questa pagina, devi avere accesso alla directory con la configurazione di GKE su AWS.

Certificati del servizio di gestione

Questa sezione descrive come ruotare i certificati per il servizio di gestione.

Autorità di certificazione di gestione

Questa sezione spiega come ruotare i certificati di firma dell'autorità di certificazione per i componenti di GKE su AWS.

CA radice del server API di gestione

Per ruotare la CA radice del server API, segui questi passaggi:

Passa alla directory con la configurazione di GKE su AWS. Hai creato questa directory durante l'installazione del servizio di gestione.
```
cd anthos-aws
```
Apri il file anthos-gke.status.yaml in un editor di testo.
Rimuovi tutti i valori sotto la chiave certificateAuthority. tra cui encryptedPrivateKey.kmsKeyARN, encryptedPrivateKey.value e encryptedPrivateKey.certificate.
Esegui anthos-gke aws management init per aggiornare il file anthos-gke.status.yaml.
```
 anthos-gke aws management init
```
Esegui anthos-gke aws management apply per aggiornare il servizio di gestione.
```
 anthos-gke aws management apply
```

Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione.
```
cd anthos-aws
anthos-gke aws management get-credentials
```
Nota: anthos-gke utilizza le credenziali che hai specificato quando hai eseguito aws configure.

Altre CA di gestione

Questa sezione descrive come ruotare tutte le seguenti CA:

CA webhook di autenticazione
CA etcd
CA firmataria del service account

Puoi ruotare queste CA con uno dei seguenti metodi:

Rimuovi la sezione certificateAuthority da anthos-gke.status.yaml.
1. Passa alla directory con la configurazione di GKE su AWS. Hai creato questa directory durante l'installazione del servizio di gestione.
```
cd anthos-aws
```
2. Apri il file anthos-gke.status.yaml in un editor di testo.
3. Rimuovi tutti i valori sotto la chiave certificateAuthority. tra cui encryptedPrivateKey.kmsKeyARN, encryptedPrivateKey.value e encryptedPrivateKey.certificate.
4. Esegui anthos-gke aws management init per aggiornare il file anthos-gke.status.yaml.
```
 anthos-gke aws management init
```
5. Esegui anthos-gke aws management apply per aggiornare il servizio di gestione.
```
 anthos-gke aws management apply
```
Se è disponibile una nuova versione di GKE su AWS, esegui l'upgrade del servizio di gestione GKE su AWS.
Ricrea l'istanza EC2 del servizio di gestione.
1. Dalla directory anthos-aws, utilizza terraform per ottenere l'ID del tuo servizio di gestione.
```
cd anthos-aws
terraform output cluster_id
```
  L'output include l'ID del servizio di gestione. Nell'esempio seguente, l'ID è gke-12345abc.
```
terraform output cluster_id
gke-12345abc
```
2. Apri la console AWS EC2.
3. Fai clic su Istanze.
4. Trova l'istanza denominata cluster-id-management-0.
5. Seleziona Azioni -> Stato istanza -> Termina per rimuovere l'istanza. EC2 crea automaticamente una nuova istanza con lo stesso volume EBS.

Chiavi e certificati client / server TLS di gestione

Per ruotare le chiavi e i certificati client / server TLS per il servizio di gestione, ricrea l'istanza del servizio di gestione. Per ricreare l'istanza, segui questi passaggi:

Dalla directory anthos-aws, utilizza terraform per ottenere l'ID del tuo servizio di gestione.
```
cd anthos-aws
terraform output cluster_id
```
L'output include l'ID del servizio di gestione. Nell'esempio seguente, l'ID è gke-12345abc.
```
terraform output cluster_id
gke-12345abc
```
Apri la console AWS EC2.
Fai clic su Istanze.
Trova l'istanza denominata cluster-id-management-0.
Seleziona Azioni -> Stato istanza -> Termina per rimuovere l'istanza. EC2 crea automaticamente una nuova istanza con lo stesso volume EBS.

Google Cloud service account

Account di servizio del servizio di gestione

Per ruotare gli account di servizioGoogle Cloud per il tuo servizio di gestione, segui questi passaggi.

Crea nuovi service account e scarica le account di servizio seguendo i passaggi descritti in Prerequisiti
Passa alla directory con la configurazione di GKE su AWS. Hai creato questa directory durante l'installazione del servizio di gestione.
```
cd anthos-aws
```
Se hai scaricato le chiavi in un percorso diverso, apri il file anthos-gke.yaml in un editor di testo. Modifica il valore di .spec.googleCloud.serviceAccountKeys.managementService, .status.googleCloud.serviceAccountKeys.connectAgent e .spec.googleCloud.serviceAccountKeys.node con i nuovi percorsi.
```
apiVersion: multicloud.cluster.gke.io/v1
kind: AWSManagementService
metadata:
 name: management
spec:
 googleCloud:
   serviceAccountKeys:
     managementService: MANAGEMENT_KEY_PATH
     connectAgent: CONNECT_KEY_PATH
     node: NODE_KEY_PATH
 ...
```
Esegui anthos-gke aws management init per aggiornare il file anthos-gke.status.yaml.
```
anthos-gke aws management init
```
Esegui anthos-gke aws management apply per aggiornare il servizio di gestione.
```
anthos-gke aws management apply
```

Service account del cluster utente

Per applicare questi service account a AWSClusters e AWSNodePools, devi eseguire l'upgrade o eliminare e poi ricrearli.

Certificati dei cluster utente

Questa sezione descrive come ruotare i certificati per i cluster utente.

Chiavi SSH e CA dei cluster utente

La maggior parte delle CA per i cluster utente viene creata al momento della creazione del cluster.

Quando elimini un cluster utente, GKE su AWS ruota i seguenti certificati:

CA radice del server API
CA proxy front-end API
CA etcd
CA del firmatario del account di servizio Kubernetes
Coppie di chiavi SSH dal control plane al nodo

CA webhook di autenticazione del cluster utente

Per ruotare l'autorità di certificazione del webhook di autenticazione del cluster utente, modifica il file anthos-gke.status.yaml e applica le modifiche.

Passa alla directory con la configurazione di GKE su AWS. Hai creato questa directory durante l'installazione del servizio di gestione.
```
cd anthos-aws
```
Apri il file anthos-gke.status.yaml in un editor di testo.
Rimuovi tutti i valori sotto la chiave certificateAuthority. tra cui encryptedPrivateKey.kmsKeyARN, encryptedPrivateKey.value e encryptedPrivateKey.certificate.
Esegui anthos-gke aws management init per aggiornare il file anthos-gke.status.yaml.
```
 anthos-gke aws management init
```
Esegui anthos-gke aws management apply per aggiornare il servizio di gestione.
```
 anthos-gke aws management apply
```

Coppie di chiavi e certificati TLS del cluster utente

GKE su AWS genera coppie di chiavi e certificati TLS durante la creazione di un'istanza. Per ruotare queste coppie, ricrea l'istanza eseguendo i seguenti passaggi per il control plane e i pool di nodi.

Piano di controllo

Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione.
```
cd anthos-aws
anthos-gke aws management get-credentials
```
Nota: anthos-gke utilizza le credenziali che hai specificato quando hai eseguito aws configure.
Utilizza kubectl per ottenere il gruppo di destinazione AWS EC2 del control plane da AWSCluster.
```
env HTTPS_PROXY=http://localhost:8118 \
  kubectl get awscluster cluster-name \
  -o jsonpath='{.status.targetGroupName}{"\n"}'
```
L'output include il nome del gruppo di destinazione EC2 del piano di controllo. Ad esempio, gke-123456a7-controlplane.
Apri la console AWS EC2. Scegli Gruppi target nel riquadro a sinistra.
Fai clic sulla barra di ricerca e trova il gruppo target. Fai clic sul nome del gruppo target e poi su Target. Viene visualizzato l'elenco delle istanze del piano di controllo.
Per ogni istanza nel gruppo di destinazione, esegui questi passaggi:
1. Fai clic sull'ID istanza dell'istanza. Viene visualizzata la console delle istanze AWS EC2.
2. Fai clic sull'ID istanza.
3. Seleziona Azioni -> Stato istanza -> Termina per rimuovere l'istanza. EC2 crea automaticamente una nuova istanza con lo stesso volume EBS.
4. Torna alla pagina Gruppi target.
Dopo aver terminato tutte le istanze nel gruppo, torna alla pagina Gruppi di destinazione.
Nella sezione Target registrati della pagina, trova la colonna Stato. Ogni istanza deve avere lo stato Integrità Integro. Se una delle istanze è integra, attendi qualche minuto e fai clic sull'icona Aggiorna ().
Quando tutte le istanze del gruppo di destinazione sono in stato integro, vai al passaggio successivo.

Pool di nodi

Per ruotare i certificati TLS del pool di nodi:

Dalla directory anthos-aws, utilizza anthos-gke per passare al servizio di gestione.
```
cd anthos-aws
anthos-gke aws management get-credentials
```
Nota: anthos-gke utilizza le credenziali che hai specificato quando hai eseguito aws configure.
Utilizza kubectl per ottenere il gruppo di destinazione AWS EC2 del pool di nodi da AWSNodePool.
```
env HTTPS_PROXY=http://localhost:8118 \
  kubectl get awsnodepool -o jsonpath='{.items[*].status.autoScalingGroupName}{"\n"}'
```
L'output include il nome del gruppo di destinazione EC2 del pool di nodi. Ad esempio, gke-123456a7-nodepool-abc123.
Apri la console AWS EC2. Scegli Gruppi target nel riquadro a sinistra.
Fai clic sulla barra di ricerca e trova il gruppo target. Fai clic sul nome del gruppo target e poi su Target. Viene visualizzato l'elenco delle istanze del piano di controllo.
Per ogni istanza nel gruppo di destinazione, esegui questi passaggi:
1. Fai clic sull'ID istanza dell'istanza. Viene visualizzata la console delle istanze AWS EC2.
2. Fai clic sull'ID istanza.
3. Seleziona Azioni -> Stato istanza -> Termina per rimuovere l'istanza. EC2 crea automaticamente una nuova istanza con lo stesso volume EBS.
4. Torna alla pagina Gruppi target.
Dopo aver terminato tutte le istanze nel gruppo, torna alla pagina Gruppi di destinazione.
Nella sezione Target registrati della pagina, trova la colonna Stato. Ogni istanza deve avere lo stato Integrità Integro. Se una delle istanze è integra, attendi qualche minuto e fai clic sull'icona Aggiorna ().
Quando tutte le istanze del gruppo di destinazione sono in stato integro, vai al passaggio successivo.