Akun layanan Kubernetes (KSA) memberikan identitas untuk proses yang berjalan dalam Pod.
Akun layanan Kubernetes berbeda dengan akun layanan Google Cloud yang digunakan aplikasi untuk melakukan panggilan yang diotorisasi ke Google Cloud API.
Google Distributed Cloud menggunakan kunci kriptografis pribadi untuk menandatangani token KSA yang dikeluarkannya ke Pod. Fungsi ini menggunakan kunci publik yang sesuai untuk memvalidasi token saat Pod mengirim permintaan ke server Kubernetes API. Jika sebuah Pod menggunakan Workload Identity untuk memanggil Google Cloud API, Google Cloud akan menggunakan kunci publik yang sama untuk mengautentikasi identitas Pod.
Selama pembuatan cluster pengguna, Google Distributed Cloud menghasilkan kunci pribadi dan publik. Selain itu, selama pembuatan cluster, Google Distributed Cloud mendaftarkan cluster ke fleet dan memberikan kunci publik ke Google Cloud.
Di lain waktu, Anda dapat merotasi pasangan kunci pribadi/publik. Rotasi akan otomatis mengeluarkan token baru yang ditandatangani oleh kunci pribadi baru. Pada akhir rotasi, cluster memiliki kunci pribadi baru, kunci publik baru, dan token yang dimuat ulang. Selain itu, Google Cloud memiliki kunci publik baru.
Token terikat dan token lama
Pod dapat menggunakan token lama atau token terikat untuk autentikasi dan otorisasi saat memanggil server Kubernetes API. Token terikat memiliki masa berlaku terbatas dan didistribusikan ke Pod menggunakan volume yang diproyeksikan. Token lama tidak memiliki masa berlaku dan disimpan di Secrets Kubernetes. Kami merekomendasikan token terikat karena lebih aman.
Token terikat dan token lama diperbarui selama rotasi kunci.
Memulai rotasi kunci
Sebelum Anda memulai rotasi kunci, pertimbangkan hal-hal berikut:
Selama rotasi kunci, Anda tidak dapat memulai rotasi kunci lain, rotasi certificate authority, atau update cluster.
Rotasi kunci tidak dapat dijeda atau di-roll back. Semua kunci lama akan dihapus.
Rotasi kunci menghapus node cluster yang ada dan membuat node baru.
Untuk memulai rotasi kunci:
gkectl update credentials ksa-signing-key rotate \ --config USER_CLUSTER_CONFIG \ --kubeconfig ADMIN_CLUSTER_KUBECONIFG \ [--skip-prompt]
Ganti kode berikut:
USER_CLUSTER_CONFIG: Jalur file konfigurasi cluster pengguna
ADMIN_KUBECONFIG_FILE: Jalur file kubeconfig cluster admin
Sertakan --skip-prompt
jika Anda tidak ingin diminta.
Melihat status rotasi kunci
Untuk melihat status rotasi kunci:
gkectl update credentials ksa-signing-key status \ --config USER_CLUSTER_CONFIG \ --kubeconfig ADMIN_CLUSTER_KUBECONIFG
Jika rotasi kunci telah selesai, Anda akan melihat pesan seperti ini:
State of KSASigningKeyRotation with KSASigningKeyVersion 2 is - status: True, reason: KSASigningKeyRotationCompleted, message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[2]}
Jika rotasi Kunci Penandatanganan KSA masih berlangsung, Anda akan melihat pesan yang mirip dengan ini:
State of KSASigningKeyRotation with KSASigningKeyVersion 2 is - status: False, reason: KSASigningKeyRotationProcessedReason, message:{"tokenVersion":2,"privateKeyVersion":2,"publicKeyVersions":[1,2]}