Os clusters do Anthos em bare metal agora são o Google Distributed Cloud (somente software) em bare metal. Para mais informações, consulte a visão geral do produto.
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Para alternar as chaves da conta de serviço no Google Distributed Cloud, atualize as
credenciais atuais do cluster com o comando bmctl. Essa rotação de chave de conta de serviço pode fazer parte dos processos regulares para atualizar credenciais ou em resposta a uma possível exposição das chaves. Quando você atualiza as credenciais do cluster, as novas informações são transmitidas para
clusters administrativos ou clusters híbridos ou roteadas automaticamente para os clusters de usuário afetados
gerenciados por um cluster de administração.
Credenciais de cluster que podem ser atualizadas
Os clusters do Google Distributed Cloud exigem várias credenciais quando são criados.
Você define as credenciais na configuração do cluster quando cria um cluster de administração, autônomo ou
híbrido. Os clusters de usuário, como observado anteriormente, são gerenciados por um cluster de administração (ou por um cluster híbrido que atua como administrador) e reutilizarão as mesmas credenciais do cluster de administração.
É possível atualizar as seguintes credenciais e os respectivos segredos
nos clusters do Google Distributed Cloud com o comando bmctl:
Chave privada SSH: usada para acesso ao nó.
Chave do Container Registry (anthos-baremetal-gcr): chave da conta de serviço usada para autenticação com o Container Registry para extração de imagens.
Chave da conta de serviço do agente do Connect (anthos-baremetal-connect): chave da conta de serviço usada pelos pods do agente do Connect.
Chave da conta de serviço de registro do Connect
(anthos-baremetal-register): chave da conta de serviço usada para autenticação com o
Hub ao registrar ou cancelar o registro de um cluster.
Chave da conta de serviço do Cloud Operations (anthos-baremetal-cloud-ops): chave da conta de serviço para autenticação com as APIs do Google Cloud Observability (geração de registros e monitoramento).
Atualizar credenciais com bmctl
Quando você cria clusters, o Google Distributed Cloud cria segredos do Kubernetes
com base nas chaves de credencial. Se você gerar novas chaves, será necessário atualizar as chaves secretas correspondentes, conforme descrito nas etapas a seguir. Se o nome ou o caminho para suas chaves mudarem, também será necessário atualizar o arquivo de configuração do cluster correspondente.
Prepare os novos valores das credenciais que você quer atualizar:
Gere uma nova chave privada SSH na estação de trabalho de administrador e verifique se as máquinas do nó do cluster têm a chave pública correspondente.
Atualize a seção de credenciais do arquivo de configuração do cluster com os caminhos para as novas chaves.
Atualize os secrets do cluster correspondentes com o comando bmctl update credentials, adicionando as flags apropriadas.
O exemplo a seguir atualiza as credenciais de uma nova chave privada SSH:
ADMIN_KUBECONFIG: o caminho do arquivo kubeconfig
do cluster de administrador ou autogerenciado.
CLUSTER_NAME: o nome do cluster para o qual você está
atualizando a chave SSH.
SSH_KEY_PATH: o caminho do arquivo de chave SSH. Por
padrão, o bmctl verifica os arquivos de chaves da conta de serviço e SSH especificados
no arquivo de configuração do cluster. Se bmctl encontrar um arquivo de chave expirado,
o comando vai falhar. Se você tiver o novo arquivo de chave válido em um local diferente
do especificado no arquivo de configuração, inclua a
flag --ignore-validation-errors para evitar essa falha.
Para conferir uma lista completa de flags que podem ser usadas com o comando bmctl update
credentials, consulte atualizar
as credenciais na referência do comando
bmctl.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-04-22 UTC."],[],[],null,["To rotate the service account keys in Google Distributed Cloud, you update the\nexisting cluster credentials with the `bmctl` command. This service account key\nrotation might be as part of your regular processes to update credentials, or in\nresponse to a potential exposure of the keys. When you update cluster\ncredentials, the new information is passed to admin or hybrid clusters, or\nautomatically routed to affected user clusters managed by an admin cluster.\n\nCluster credentials that can be updated\n\nGoogle Distributed Cloud clusters require multiple credentials when they are created.\nYou set the credentials in the cluster config when you create an admin,\nstandalone, or hybrid cluster. User clusters, as noted previously, are managed\nby an admin cluster (or a hybrid cluster acting as admin), and will reuse the\nsame credentials from the admin cluster.\n\nFor more information about creating clusters and different cluster types,\nsee [Installation overview: choosing a deployment model](/kubernetes-engine/distributed-cloud/bare-metal/docs/installing/install-prep).\n\nYou can update the following credentials, and their corresponding secrets,\nin Google Distributed Cloud clusters with the `bmctl` command:\n\n- **SSH private key**: Used for node access.\n- **Artifact Registry key** (`anthos-baremetal-gcr`): Service account key used to authenticate with Artifact Registry for image pulling.\n- **Connect agent service account key** (`anthos-baremetal-connect`): Service account key used by Connect agent pods.\n- **Connect register service account key** (`anthos-baremetal-register`): Service account key used to authenticate with Hub when registering or unregistering a cluster.\n- **Cloud operations service account key** (`anthos-baremetal-cloud-ops`): Service account key to authenticate with Google Cloud Observability (logging \\& monitoring) APIs.\n\nUpdate credentials with `bmctl`\n\nWhen you create clusters, Google Distributed Cloud creates Kubernetes Secrets\nbased on your credential keys. If you generate new keys, you must update the\ncorresponding Secrets as described in the following steps. If the name or path\nto your keys change, you must also update the corresponding cluster\nconfiguration file.\n\n1. Prepare the new values for the credentials you want to update:\n\n - You can\n [generate new Google service account keys](/iam/docs/keys-create-delete#creating)\n through the Google Cloud CLI or through the Google Cloud console.\n\n - Generate new SSH private key on the admin workstation and make sure the\n cluster node machines have the corresponding public key.\n\n2. Update the credentials section of your cluster configuration file with paths\n to the new keys.\n\n3. Update the corresponding cluster Secrets with the `bmctl update credentials`\n command, adding the appropriate flags.\n\n The following example updates the credentials for a new SSH private key: \n\n bmctl update credentials --kubeconfig \u003cvar translate=\"no\"\u003eADMIN_KUBECONFIG\u003c/var\u003e \\\n --cluster \u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e \\\n --ssh-private-key-path \u003cvar translate=\"no\"\u003eSSH_KEY_PATH\u003c/var\u003e\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eADMIN_KUBECONFIG\u003c/var\u003e: the path of the kubeconfig file\n of the admin or self-managing cluster.\n\n - \u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e: the name of the cluster that you're\n updating the SSH key for.\n\n - \u003cvar translate=\"no\"\u003eSSH_KEY_PATH\u003c/var\u003e: the path of the SSH key file. By\n default, `bmctl` checks the SSH and service account key files specified\n in the cluster configuration file. If `bmctl` finds an expired key file,\n the command fails. If you have the new valid key file in a different\n location than what's specified in the configuration file, include the\n `--ignore-validation-errors` flag to avoid this failure.\n\n For a complete list of the flags that you can use with the `bmctl update\n credentials` command, see [update\n credentials](/kubernetes-engine/distributed-cloud/bare-metal/docs/reference/bmctl#update_credentials) in the `bmctl`\n command reference."]]
