Cluster Anthos on bare metal kini menjadi Google Distributed Cloud (khusus software) untuk bare metal. Untuk mengetahui informasi selengkapnya, lihat ringkasan produk.

Halaman ini diterjemahkan oleh Cloud Translation API.

Merotasi certificate authority

Google Distributed Cloud menggunakan sertifikat dan kunci pribadi untuk mengautentikasi dan mengenkripsi hubungan antara komponen sistem dalam klaster-klaster. Sertifikat cluster otoritas (CA) mengelola sertifikat dan kunci ini. Saat Anda menjalankan bmctl update credentials certificate-authorities rotate, Google Distributed Cloud melakukan tindakan berikut:

Membuat dan mengupload certificate authority (CA) cluster baru untuk CA cluster, CA {i>etcd<i}, dan CA {i>front-proxy<i} ke cluster pengguna pada cluster admin.
Pengontrol cluster admin menggantikan sertifikat cluster pengguna otoritas dengan otoritas yang baru dibuat.
Pengontrol cluster admin mendistribusikan sertifikat CA publik baru dan pasangan kunci sertifikat entitas akhir ke komponen sistem cluster pengguna.

Untuk mempertahankan komunikasi cluster yang aman, rotasikan CA cluster pengguna Anda secara berkala dan setiap kali terjadi kemungkinan pelanggaran keamanan.

Sebelum memulai

Sebelum merotasi certificate authority cluster Anda, rencanakan sesuai dengan kondisi dan dampak berikut:

Pastikan cluster pengguna dan admin memiliki versi 1.9.0 atau yang lebih tinggi sebelum memulai rotasi CA.
Rotasi CA bersifat inkremental, memungkinkan komponen sistem berkomunikasi selama rotasi.
Proses rotasi CA memulai ulang server API, proses bidang kontrol, dan pod di cluster pengguna.
Workload akan dimulai ulang dan dijadwalkan ulang selama rotasi CA.
Untuk konfigurasi cluster dengan ketersediaan tidak tinggi, tunggu beberapa saat periode nonaktif bidang kontrol selama rotasi CA.
Operasi pengelolaan cluster tidak diizinkan selama rotasi CA.
Durasi rotasi CA bergantung pada ukuran cluster Anda. Misalnya, CA rotasi membutuhkan waktu hampir dua jam untuk menyelesaikan sebuah cluster dengan satu bidang kontrol dan 50 node pekerja.

Batasan

Kemampuan rotasi {i>certificate authority<i} memiliki batasan berikut:

Rotasi CA tidak memperbarui sertifikat yang dikeluarkan secara manual oleh administrator, meskipun CA cluster menandatangani sertifikat. Perbarui dan distribusikan ulang setiap sertifikat yang diterbitkan secara manual setelah rotasi CA cluster pengguna selesai.
Setelah dimulai, rotasi CA tidak dapat dijeda atau di-roll back.

Memulai rotasi CA cluster

Gunakan perintah berikut untuk memulai proses rotasi CA:

bmctl update credentials certificate-authorities rotate --cluster CLUSTER_NAME \
    --kubeconfig KUBECONFIG

Ganti kode berikut:

CLUSTER_NAME: nama cluster yang Anda ingin merotasi CA.
KUBECONFIG: jalur ke cluster admin {i>kubeconfig<i}. Untuk mengelola sendiri cluster, file ini adalah milik {i>kubeconfig<i}.

Perintah bmctl akan keluar setelah CA berhasil dirotasi dan perubahan file {i>kubeconfig<i} akan dibuat. Jalur standar untuk file {i>kubeconfig<i} adalah bmctl-workspace/CLUSTER_NAME/CLUSTER_NAME-kubeconfig.

Memecahkan masalah rotasi CA cluster

Perintah bmctl update credentials menampilkan progres rotasi CA. File update-credentials.log terkait disimpan ke file berikut direktori dengan stempel waktu:

bmctl-workspace/CLUSTER_NAME/log/update-credentials-TIMESTAMP