Arbeitslasten über mTLS bei anderen Arbeitslasten authentifizieren

In diesem Dokument wird beschrieben, wie Sie die automatische Bereitstellung und die Lebenszyklusverwaltung verwalteter Arbeitslastidentitäten für Compute Engine einrichten. Sie konfigurieren CA-Pools so, dass Zertifikate mit Certificate Authority Service (CA) ausgestellt werden. Dies ist ein hochverfügbarer, skalierbarer Google Cloud -Dienst, der die Bereitstellung und Verwaltung und Sicherheit von CA-Diensten vereinfacht und automatisiert. Jede VM wird mit X.509-Anmeldedaten aus dem konfigurierten CA-Pool bereitgestellt. Diese Anmeldedaten können dann zum Herstellen von mTLS-Verbindungen verwendet werden.

Mit verwalteten Arbeitslastidentitäten für Compute Engine können Sie wechselseitig authentifizierte und verschlüsselte Kommunikation zwischen zwei beliebigen Compute Engine-VMs implementieren. Arbeitslastanwendungen, die auf den konfigurierten VMs ausgeführt werden, können die X.509-Anmeldedaten für mTLS pro VM verwenden. Diese mTLS-Zertifikate werden automatisch rotiert und vom Certificate Authority Service verwaltet.

Vorbereitung

  • Zugriff auf die Vorschau der verwalteten Arbeitslastidentität anfordern

  • Google Cloud CLI konfigurieren:

    After installing the Google Cloud CLI, initialize it by running the following command: 

    gcloud init

    If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  • Konfigurieren Sie die Google Cloud CLI so, dass das auf die Zulassungsliste gesetzte Projekt für die Abrechnung und das Kontingent verwendet wird.

      gcloud config set billing/quota_project PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID des Projekts, das der Zulassungsliste für die Vorschau der verwalteten Arbeitslastidentität hinzugefügt wurde.

  • Lesen Sie die Dokumentation Verwaltete Arbeitslastidentitäten – Übersicht.

  • Enable the Compute Engine API: 

    gcloud services enable compute.googleapis.com

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von VMs benötigen, die verwaltete Zertifikate für die Identitätsföderation von Arbeitslasten zur Authentifizierung bei anderen Arbeitslasten verwenden:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Übersicht

Führen Sie die folgenden Aufgaben aus, um verwaltete Arbeitslastidentitäten für Ihre Anwendungen zu verwenden:

  1. Sicherheitsadministrator:

  2. Compute Administrator:

Verwaltete Arbeitslastidentitäten in der Identitäts- und Zugriffsverwaltung konfigurieren

  • Folgen Sie der Anleitung unter Authentifizierung von verwalteten Arbeitslastidentitäten konfigurieren .

    In dieser Anleitung wird beschrieben, wie Sie Folgendes ausführen:

    • Erstellen Sie einen Workload Identity-Pool.
    • Erstellen Sie Namespaces im Workload Identity-Pool. Sie verwenden die Namespaces, um administrative Grenzen für Ihre verwalteten Arbeitslastidentitäten zu erstellen, z. B. einen Namespace für jede der Anwendungen, die Ihrer Organisation gehören.
    • Erstellen Sie eine verwaltete Arbeitslastidentität in einem Namespace im Workload Identity-Pool. Sie können beispielsweise einen Namespace für eine Anwendung erstellen und in diesem Namespace verwaltete Identitäten für die Mikrodienste erstellen, die diese Anwendung unterstützen.
    • Erstellen Sie ein Dienstkonto. Compute Engine-VMs können autorisiert werden, eine verwaltete Arbeitslastidentität anhand des an die VM angehängten Google Cloud Dienstkontos zu empfangen.
    • Erstellen Sie eine Attestierungsrichtlinie für Arbeitslasten, mit der Ihre Arbeitslast Anmeldedaten für die verwaltete Arbeitslastidentität erhalten kann. Damit Anmeldedaten für die verwaltete Arbeitslastidentität ausgegeben werden können, muss sich die Arbeitslast innerhalb eines angegebenen Projekts befinden und das Dienstkonto muss angehängt sein.
    • Certificate Authority Service so konfigurieren, dass Zertifikate für verwaltete Arbeitslastidentitäten ausgestellt werden:
      • Stamm-CA-Pool konfigurieren
      • Untergeordnete CAs konfigurieren
      • Verwaltete Arbeitslastidentitäten autorisieren, um Zertifikate vom CA-Pool anzufordern

Konfigurationsdatei zum Hochladen der Partnermetadaten abrufen

Ihr Sicherheitsadministrator erstellt eine JSON-Datei, die Folgendes enthält:

Diese Datei sollte den Namen CONFIGS.json haben. Sie verwenden diese Datei, wenn Sie eine Instanzvorlage für MIGs oder eine einzelne VM erstellen.

Die Datei CONFIGS.json sollte so ähnlich aussehen:

  {
  "wc.compute.googleapis.com": {
     "entries": {
        "certificate-issuance-config": {
           "primary_certificate_authority_config": {
              "certificate_authority_config": {
                 "ca_pool": "projects/PROJECT_ID/locations/SUBORDINATE_CA_POOL_REGION/caPools/SUBORDINATE_CA_POOL_ID"
              }
           },
           "key_algorithm": "rsa-2048"
        },
        "trust-config": {
           "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": {
               "trust_anchors": [{
                  "ca_pool": "projects/PROJECT_ID/locations/SUBORDINATE_CA_POOL_REGION/caPools/SUBORDINATE_CA_POOL_ID"
                }]
           }
     }
  }
  },
  "iam.googleapis.com": {
     "entries": {
        "workload-identity": "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID"
     }
  }
  }

Verwaltete Arbeitslastidentitäten für eine verwaltete Instanzgruppe aktivieren

Eine verwaltete Instanzgruppe (MIG) ist eine Gruppe von VM-Instanzen, die Sie als eine einzige Entität behandeln. Jede VM in einer MIG wird mit einer Instanzvorlage erstellt. Damit die VMs in der MIG verwaltete Arbeitslastidentitäten verwenden können, geben Sie die Konfiguration in der Instanzvorlage an.

Instanzvorlage erstellen

Erstellen Sie eine Instanzvorlage mit aktiviertem Feature für verwaltete Arbeitslastidentitäten. Verwenden Sie diese Vorlage dann, um eine verwaltete Instanzgruppe (Managed Instance Group, MIG) zu erstellen.

gcloud

Erstellen Sie mit dem Befehl gcloud beta compute instance-templates create eine neue Instanzvorlage, die verwaltete Arbeitslastidentitäten aktiviert.

gcloud beta compute instance-templates create INSTANCE_TEMPLATE_NAME \
    --service-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --metadata enable-workload-certificate=true \
    --partner-metadata-from-file CONFIGS.json

Sie können beim Erstellen der Instanzvorlage zusätzliche Flags hinzufügen, um die VMs anzupassen, die damit erstellt werden. So können Sie beispielsweise den Maschinentyp und das Image angeben, anstatt die Standardwerte zu verwenden.

Ersetzen Sie dabei Folgendes:

  • INSTANCE_TEMPLATE_NAME: Der Name der neuen Vorlage.
  • SERVICE_ACCOUNT_NAME: der Name des Dienstkontos, das die verwaltete Identität empfangen darf.
  • PROJECT_ID: die ID des Projekts, in dem das Dienstkonto erstellt wurde.
  • CONFIGS.json: Die Konfigurationsdatei, die die Konfiguration der Zertifikatsausstellung, die Vertrauenskonfiguration und die verwaltete Arbeitslastidentität enthält.

Weitere Informationen finden Sie unter Instanzvorlagen erstellen.

Erstellen Sie anhand der Vorlage eine verwaltete Instanzgruppe

Erstellen Sie eine verwaltete Instanzgruppe, die eine Instanzvorlage verwendet, die die verwalteten Arbeitslastidentitäten aktiviert. Weitere Informationen zum Erstellen der Instanzvorlage finden Sie unter Instanzvorlage erstellen.

gcloud

Erstellen Sie mit der Instanzvorlage und dem Befehl gcloud compute instance-groups managed create eine MIG.

gcloud compute instance-groups managed create INSTANCE_GROUP_NAME \
    --size=SIZE \
    --template=INSTANCE_TEMPLATE_NAME \
    --zone=ZONE

Ersetzen Sie dabei Folgendes:

  • INSTANCE_GROUP_NAME: Eine eindeutige ID für die verwaltete Instanzgruppe. Weitere Informationen zu gültigen Namen finden Sie unter Ressourcen benennen.
  • SIZE: Name der verwalteten Instanzgruppe.
  • INSTANCE_TEMPLATE_NAME: Name der Instanzvorlage, die beim Erstellen von VMs in der MIG verwendet werden soll.
  • ZONE ist die Zone, in der die VMs erstellt werden sollen.

Ausführliche Informationen zum Erstellen von MIGs finden Sie unter Grundlegende Szenarien zum Erstellen verwalteter Instanzgruppen (MIGs).

Verwaltete Arbeitslastidentitäten für einzelne VMs aktivieren

Sie können verwaltete Arbeitslastidentitäten für eine VM aktivieren, wenn Sie die VM erstellen oder die Partnermetadaten für eine vorhandene VM aktualisieren.

VMs mit aktivierten verwalteten Arbeitslastidentitäten erstellen

So erstellen Sie eine VM, um das Feature für verwaltete Arbeitslastidentitäten für die VM zu aktivieren:

  • Dienstkonto für die VM angeben
  • Setzen Sie das Metadatenattribut enable-workload-certificate auf true.

  • Geben Sie die Konfiguration für die Zertifikatsausstellung und die Vertrauenskonfiguration als Partnermetadaten an.

gcloud

Verwenden Sie den Befehl gcloud beta compute instances create, um eine neue VM zu erstellen. Verwenden Sie die CONFIGS.json-Datei, die von Ihrem Sicherheitsadministrator bereitgestellt wurde, oder die Sie gemäß der Anleitung unter Konfigurationsdatei zum Hochladen der Partnermetadaten erstellen erstellt haben.

  1. Erstellen Sie eine VM mit aktiviertem Feature für verwaltete Arbeitslastidentitäten.

    gcloud beta compute instances create INSTANCE_NAME \
   --zone=INSTANCE_ZONE \
   --service-account SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
   --metadata enable-workload-certificate=true \
   --partner-metadata-from-file CONFIGS.json

    Sie können dem Befehl zusätzliche Zeilen hinzufügen, um die VM zu konfigurieren, z. B. den Maschinentyp und das Image, anstatt die Standardwerte zu verwenden. Weitere Informationen finden Sie unter VM-Instanz erstellen und starten.

    Ersetzen Sie dabei Folgendes:

    • INSTANCE_NAME: ein eindeutiger Name für die VM. Weitere Informationen zu gültigen Instanznamen finden Sie unter Ressourcen benennen.
    • INSTANCE_ZONE ist die Zone, in der die VM erstellt werden soll.
    • SERVICE_ACCOUNT_NAME: der Name des Dienstkontos, das die verwaltete Identität empfangen darf.
    • PROJECT_ID: die ID des Projekts, in dem das Dienstkonto erstellt wurde.
    • CONFIGS.json: Der Name der Konfigurationsdatei, die die Konfiguration der Zertifikatsausstellung, die Vertrauenskonfiguration und die Konfiguration der verwalteten Arbeitslastidentität enthält.

Verwaltete Arbeitslastidentitäten auf vorhandenen VMs aktivieren

Aktualisieren Sie die VM so, dass Folgendes konfiguriert wird, um verwaltete Arbeitslastidentitäten für eine vorhandene VM zu aktivieren:

  • Wenn an die VM noch kein Dienstkonto angehängt ist, erstellen Sie ein Dienstkonto und hängen Sie es an die VM an.
  • Setzen Sie das Metadatenattribut enable-workload-certificate auf true.
  • Geben Sie die Konfiguration der Zertifikatsausstellung und die Informationen zur Vertrauenskonfiguration als Partnermetadaten an.

  • Starten Sie die VM neu.

gcloud

Für diese Aufgabe wird die Datei CONFIGS.json verwendet, die von Ihrem Sicherheitsadministrator bereitgestellt oder gemäß der Anleitung unter Konfigurationsdatei zum Hochladen der Partnermetadaten erstellen erstellt wurde.

  1. Wenn der VM noch kein Dienstkonto zugewiesen ist, weisen Sie der VM ein Dienstkonto zu.

  2. Aktualisieren Sie die Metadaten für eine vorhandene VM, um verwaltete Arbeitslastidentitäten zu aktivieren.

    gcloud beta compute instances add-metadata VM_NAME \
   --zone=ZONE \
   --metadata enable-workload-certificate=true

    Ersetzen Sie dabei Folgendes:

    • VM_NAME: der Name der VM
    • ZONE: die Zone, in der sich die VM befindet

  3. Aktualisieren Sie die Konfiguration für eine vorhandene VM, um die Konfigurationsdatei hinzuzufügen.

    gcloud beta compute instances update VM_NAME \
   --zone=ZONE \
   --partner-metadata-from-file CONFIGS.json

    Ersetzen Sie dabei Folgendes:

    • VM_NAME: der Name der VM
    • ZONE: die Zone, in der sich die VM befindet
    • CONFIGS.json: Die Konfigurationsdatei, die die Konfiguration der Zertifikatsausstellung, die Vertrauenskonfiguration und die verwaltete Arbeitslastidentität enthält.

  4. Halten Sie die VM an.

    gcloud beta compute instances stop VM_NAME \
   --zone=ZONE

    Ersetzen Sie dabei Folgendes:

    • VM_NAME: der Name der VM
    • ZONE ist die Zone, in der sich die VM befindet.

  5. VM starten

    gcloud beta compute instances start VM_NAME \
   --zone=ZONE

    Ersetzen Sie dabei Folgendes:

    • VM_NAME: der Name der VM
    • ZONE ist die Zone, in der sich die VM befindet.

Zugriff auf Anmeldedaten für Arbeitslasten auf einer Linux-VM

Nachdem Sie die Authentifizierung zwischen Arbeitslasten mit mTLS konfiguriert haben, können Sie auf die ausgestellten Anmeldedaten auf Ihrer VM zugreifen.

Es gibt zwei Möglichkeiten, auf die Anmeldedaten der verwalteten Arbeitslastidentität von Compute Engine und auf das zugehörige Vertrauens-Bundle zuzugreifen:

  • Das Dateisystem auf der VM
  • Compute Engine-Metadatenserver

Über das Dateisystem auf der VM auf die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast zugreifen

Bei dieser Methode werden die X.509-Anmeldedaten und das Vertrauens-Bundle an einem bestimmten Pfad im Dateisystem der VM platziert. Anwendungen können die Anmeldedaten und das Vertrauens-Bundle direkt aus dem Dateisystem lesen. Beispiele für das Abrufen der Anmeldedaten finden Sie in den folgenden Beispielen auf GitHub:

Auf der VM muss die Compute Engine-Gast-Agent-Version 20231103.01 oder höher ausgeführt werden. Mit dem folgenden Befehl können Sie die Version des Compute Engine-Gast-Agents auf Ihrer VM prüfen:

gcloud beta compute instances get-serial-port-output INSTANCE_NAME \
   --zone=ZONE | grep "GCE Agent Started"

Wenn die Version des Gast-Agents kleiner als 20231103.01 ist, können Sie sie aktualisieren, indem Sie der Anleitung unter Gastumgebung aktualisieren folgen.

Führen Sie die folgenden Schritte aus, um die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast im Dateisystem einer VM verfügbar zu machen:

  1. Installieren oder aktualisieren Sie den Compute Engine-Gast-Agent auf Version 20231103.01 oder höher. Der Gast-Agent führt folgende Schritte aus:

    • Ruft die Anmeldedaten und das Vertrauens-Bundle automatisch vom Compute Engine-Metadatenserver ab.
    • Sorgt für atomare Schreibvorgänge in das Dateisystem beim Aktualisieren des X.509-Zertifikats und des entsprechenden privaten Schlüssels.
    • Aktualisiert die Anmeldedaten und das Vertrauens-Bundle automatisch, z. B. wenn die mTLS-Zertifikate rotiert werden.

  2. Nachdem Sie den Compute Engine-Gast-Agent im Gastbetriebssystem installiert oder aktualisiert haben, wird mit dem Arbeitslastaktualisierungsjob das Verzeichnis /var/run/secrets/workload-spiffe-credentials erstellt und die Verzeichnisberechtigungen auf 0755 (rwxr-xr-x) festgelegt.

    Das Verzeichnis enthält die folgenden Dateien, die mit 0644 (rw-r--r--)-Berechtigungen erstellt wurden:

    • private_key.pem: Ein privater Schlüssel im PEM-Format
    • certificates.pem: Ein Paket von PEM-formatierten X.509-Zertifikaten, die für andere VMs als Clientzertifikatskette bereitgestellt oder als Serverzertifikatskette verwendet werden können.

    • ca_certificates.pem: Ein Paket aus PEM-formatierten X.509-Zertifikaten, die als Trust-Anchors verwendet werden können, wenn Sie die Zertifikate von Peers validieren.

      spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog

    • config_status: Eine Protokolldatei mit Fehlermeldungen.

  3. Anwendungen können die Zertifikate, den privaten Schlüssel und das Trust-Bundle direkt aus dem Dateisystem lesen, um mTLS-Verbindungen herzustellen.

Mit dem Metadatenserver auf die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast zugreifen

Eine Anwendung, die auf einer Compute Engine-VM ausgeführt wird, kann die Metadatenserver-Endpunkte direkt abfragen und die Anmeldedaten und das Vertrauens-Bundle abrufen. Die Anwendung ist dafür verantwortlich, die Metadatenserver-Endpunkte regelmäßig auf neue Anmeldedaten und Aktualisierungen des Vertrauens-Bundles zu prüfen.

Der Compute Engine-Metadatenserver stellt drei HTTP-Endpunkte zur Verfügung, um die Verwendung des Features für verwaltete Arbeitslastidentitäten durch Anwendungen zu ermöglichen, die in der VM ausgeführt werden.

  • gce-workload-certificates/config-status: Ein Endpunkt, der alle Fehler in den Konfigurationswerten enthält, die über die VM-Metadaten bereitgestellt werden.
  • gce-workload-certificates/workload-identities: Ein Endpunkt von Identitäten, die von der Compute Engine-Steuerungsebene verwaltet werden. Dieser Endpunkt enthält das X.509-Zertifikat und den privaten Schlüssel für die Vertrauensdomäne der VM.
  • gce-workload-certificates/trust-anchors: Ein Endpunkt mit einer Reihe vertrauenswürdiger Zertifikate für die Validierung der X.509-Zertifikatskette des Peers.

Weitere Informationen zum Abfragen der Metadaten für eine VM-Instanz finden Sie unter Informationen zu VM-Metadaten.

Wenn Ihre Anwendung mit dem Metadatenserver auf die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast zugreifen soll, muss sie Folgendes tun:

  1. Fragen Sie den Endpunkt gce-workload-certificates/config-status ab. Achten Sie darauf, dass der HTTP-Antwortcode 200 lautet und die Antwort keine partnerMetadataConfigsErrors-Fehler enthält. Wenn solche Fehler auftreten, aktualisieren Sie die entsprechende Konfiguration mit gültigen Werten. Folgen Sie dazu der Anleitung unter Zertifizierungsausgabe und Vertrauensstellung konfigurieren.

    Führen Sie den folgenden Befehl auf der VM aus, um den Wert zu prüfen:

    curl "http://metadata.google.internal/computeMetadata/v1/instance/gce-workload-certificates/config-status" -H "Metadata-Flavor: Google"

    Der Endpunkt config-status gibt eine JSON-Antwort mit der folgenden Struktur zurück:

    {
    "partnerMetadataConfigsErrors": {
        "errors": {  // A map of errors keyed by attribute name.
            "ATTRIBUTE_NAME" : "ERROR_DETAILS",
            ...
        }
    }
}

  2. Fragen Sie den Endpunkt gce-workload-certificates/workload-identities ab. Der HTTP-Antwortcode muss 200 sein. Der Endpunkt gibt eine JSON-Antwort mit der folgenden Struktur zurück:

    {
 "workloadCredentials": {  // Credentials for the VM's trust domains
   "spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_ID": {
      "certificatePem" : "X.509 certificate or certificate chain",
      "privateKeyPem" : "Private for X.509 leaf certificate"
   }
 }
}

    Extrahieren Sie certificatePem und privateKeyPem. Es ist wichtig, dass beide Werte aus derselben Antwort gelesen werden, um eine Diskrepanz zwischen dem privaten und dem öffentlichen Schlüssel zu vermeiden, falls die verwalteten Arbeitslastidentitäten von der Compute Engine-Infrastruktur aktualisiert wurden.

  3. Fragen Sie den Endpunkt gce-workload-certificates/trust-anchors ab. Achten Sie darauf, dass der HTTP-Antwortcode 200 ist. Die Antwort enthält nur die Vertrauensanker für die angegebene vertrauenswürdige SPIFFE-Domain. Andernfalls wird ein Fehler zurückgegeben. Der Endpunkt trust-anchors gibt eine JSON-Antwort mit der folgenden Struktur zurück:

    {
    "trustAnchors": {  // Trust bundle for the VM's trust domains
        "POOL_ID.global.PROJECT_NUMBER.workload.id.goog": {
            "trustAnchorsPem" : "Trust bundle containing the X.509
            roots certificates"
        }
    }
}

    Der Inhalt von trustAnchorsPem enthält das Trust-Bundle, das dann zum Authentifizieren von X.509-Anmeldedaten des Peers beim Herstellen einer mTLS-Verbindung verwendet werden kann.

Anmeldedaten und Vertrauens-Bundle aktualisieren

Die Compute Engine-Steuerungsebene rotiert automatisch die Anmeldedaten für verwaltete Arbeitslastidentitäten und die Vertrauensanker regelmäßig.

Wenn Ihre Anwendungen über das Dateisystem auf die Anmeldedaten und das Vertrauens-Bundle für die Arbeitslast zugreifen, aktualisiert der Compute Engine-Gastagent die Anmeldedaten und das Vertrauens-Bundle automatisch, z. B. wenn die mTLS-Zertifikate rotiert werden.

Wenn Ihre Anwendungen den Metadatenserver abfragen, müssen die auf einer VM ausgeführten Anwendungen regelmäßig die Metadatenserver-Endpunkte abfragen, um die neuesten Anmeldedaten für verwaltete Arbeitslastidentität und das Vertrauens-Bundle abzurufen. Andernfalls kann es aufgrund von Zertifikatsablauf oder Änderungen am Trust-Bundle zu Problemen mit Anwendungen kommen, die dazu führen, dass die mTLS-Verbindung nicht hergestellt werden kann. Google empfiehlt, dass Anwendungen alle fünf Minuten die Metadatenserver nach den Anmeldedaten für die verwaltete Arbeitslastidentität und das Vertrauens-Bundle abfragen.

Konfiguration der Zertifikatsausstellung und des Vertrauens aktualisieren

Sie können die Konfiguration der Zertifikatsausstellung und der Vertrauenskonfiguration für eine VM ändern, die verwaltete Arbeitslastidentitäten verwendet.

Instanzvorlage für eine verwaltete Instanzgruppe aktualisieren

Wenn Sie die Werte für die Konfiguration der Zertifikatausstellung und die Vertrauensstellung in einer Instanzvorlage aktualisieren möchten, müssen Sie eine neue Vorlage mit den neuen Werten erstellen. Daher wird das Aktualisieren der Konfiguration der Zertifikatsausstellung und der Vertrauenskonfiguration für vorhandene verwaltete Instanzgruppen (MIGs) nicht unterstützt.

Einzelne Compute Engine-VMs aktualisieren

Um die Konfiguration für die Zertifikatausstellung und die Vertrauenskonfiguration zu aktualisieren, aktualisieren Sie den Inhalt der CONFIGS.json-Datei und wenden Sie die Aktualisierungen mit dem gcloud beta compute instances update-Befehl an:

gcloud beta compute instances update INSTANCE_NAME \
    --partner-metadata-from-file FILENAME.json

Ersetzen Sie dabei Folgendes:

  • INSTANCE_NAME: Der Name der VM, für die Sie die Konfigurationswerte aktualisieren.
  • FILENAME: Der Name der geänderten Konfigurationsdatei, z. B. CONFIGS.json

Fehlerbehebung

Methoden zur Diagnose und Behebung häufiger Fehler im Zusammenhang mit dem Abrufen von Arbeitslastanmeldedaten finden Sie in der Dokumentation Fehlerbehebung bei der Authentifizierung von Arbeitslasten.

Nächste Schritte