如要在 Google Distributed Cloud 中輪替服務帳戶金鑰,請使用 bmctl 指令更新現有叢集憑證。您可能需要定期更新憑證,或是因金鑰可能外洩而輪替服務帳戶金鑰。更新叢集憑證時,系統會將新資訊傳遞至管理員或混合式叢集,或自動將資訊傳送至受管理員叢集影響的使用者叢集。
可更新的叢集憑證
建立 Google Distributed Cloud 叢集時,需要多項憑證。建立管理、獨立或混合式叢集時,您可以在叢集設定中設定憑證。如先前所述,使用者叢集是由管理員叢集 (或做為管理員的混合式叢集) 管理,並會重複使用管理員叢集的相同憑證。
如要進一步瞭解如何建立叢集和不同叢集類型,請參閱「安裝總覽:選擇部署模型」。
您可以使用 bmctl 指令,在 Google Distributed Cloud 叢集中更新下列憑證和對應的密鑰:
- SSH 私密金鑰:用於節點存取。
- Artifact Registry 金鑰 (
anthos-baremetal-gcr):用於向 Artifact Registry 驗證身分,以提取映像檔的服務帳戶金鑰。 - 連結代理程式服務帳戶金鑰
(
anthos-baremetal-connect):Connect 代理程式 Pod 使用的服務帳戶金鑰。 - 連結登錄服務帳戶金鑰 (
anthos-baremetal-register):註冊或取消註冊叢集時,用於向 Hub 驗證的服務帳戶金鑰。 - 雲端作業服務帳戶金鑰 (
anthos-baremetal-cloud-ops): 用於向 Google Cloud Observability (記錄和監控) API 進行驗證的服務帳戶金鑰。
透過「bmctl」更新憑證
建立叢集時,Google Distributed Cloud 會根據憑證金鑰建立 Kubernetes Secret。如果您產生新金鑰,請務必按照下列步驟更新對應的密鑰。如果金鑰的名稱或路徑有所變更,您也必須更新對應的叢集設定檔。
準備要更新的憑證新值:
您可以透過 Google Cloud CLI 或 Google Cloud 控制台產生新的 Google 服務帳戶金鑰。
在管理員工作站上產生新的安全殼層私密金鑰,並確認叢集節點機器具有對應的公開金鑰。
使用新金鑰的路徑,更新叢集設定檔的憑證部分。
使用
bmctl update credentials指令更新對應的叢集密鑰,並新增適當的標記。以下範例會更新新 SSH 私密金鑰的憑證:
bmctl update credentials --kubeconfig ADMIN_KUBECONFIG \ --cluster CLUSTER_NAME \ --ssh-private-key-path SSH_KEY_PATH更改下列內容:
ADMIN_KUBECONFIG:管理員或自我管理叢集的 kubeconfig 檔案路徑。CLUSTER_NAME:您要更新安全殼層金鑰的叢集名稱。SSH_KEY_PATH:安全殼層金鑰檔案的路徑。根據預設,bmctl會檢查叢集設定檔中指定的 SSH 和服務帳戶金鑰檔案。如果bmctl找到過期的金鑰檔案,指令就會失敗。如果新的有效金鑰檔案位於設定檔指定的位置以外,請加入--ignore-validation-errors旗標,以免發生這類失敗情況。
如需搭配
bmctl update credentials指令使用的完整旗標清單,請參閱bmctl指令參考資料中的「更新憑證」。