本頁面由 Cloud Translation API 翻譯而成。

密鑰設定檔

本文說明 Secrets 設定檔中的欄位。建立準備好的密鑰時，您會使用密鑰設定檔。

密鑰設定檔包含一組密鑰群組。每個群組都有 Kubernetes 命名空間的名稱，以及一或多個下列項目的憑證：

您會提供 Secrets 設定檔，做為 gkectl create secrets 指令的輸入內容。針對每個密鑰群組，這項指令會建立 Kubernetes 密鑰：群組中的每個憑證都會對應一個密鑰。這個指令會在指定 Kubernetes 命名空間的管理員叢集中建立密鑰。

首先，請建立 Secrets 設定檔的範本：

gkectl create-config secrets

範本

按一下即可查看生成的範本。

apiVersion: v1
kind: ClusterSecrets
# List of secret groups; for admin clusters it allows only one group
secretGroups:
# (Required for user clusters only) A unique name for secret namespace; it needs to
# have prefix 'gke-onprem-secrets-' (example: gke-onprem-secrets-test)
‐ namespace: ""
  # Secrets in this namespace
  secrets:
    # The credentials for vCenter
    vCenter:
      username: ""
      password: ""
    # The credentials for f5BigIP
    f5BigIP:
      username: ""
      password: ""
    # The GCP service account key used to pull GKE images
    componentAccessServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to register the cluster
    registerServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send logs and metrics from the cluster
    stackdriverServiceAccount:
      serviceAccountKeyPath: ""
    # The GCP service account key used to send audit logs from the cluster
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: ""
    # The credentials for private registry
    privateRegistry:
      username: ""
      password: ""

填寫 Secrets 設定檔中的欄位

`secretGroups`

物件陣列。每個物件都有 Kubernetes 命名空間的名稱和一組憑證。

管理員叢集只能有一個祕密群組。

`secretGroups[i].namespace`

僅限使用者叢集。

您為 Kubernetes 命名空間選用的名稱，該命名空間會保留一組密鑰。名稱開頭必須為 gke-onprem-secrets-。

範例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    ...
- namespace: "gke-onprem-secrets-alice"
  secrets:
    ...

`secretGroups[i].secrets.vCenter`

vCenter 帳戶的使用者名稱和密碼。

範例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    vCenter:
      username: "vc-bob"
      password: "U$icUKEW#INE"

`secretGroups[i].secrets.f5BigIP`

F5 BIG-IP 帳戶的使用者名稱和密碼。

範例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    f5BigIP:
      username: "f5-bob"
      password: "exvQVx^@L%F1"

`secretGroups[i].secrets.componentAccessServiceAccount.serviceAccountKeyPath`

元件存取服務帳戶的 JSON 金鑰檔案路徑。

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    componentAccessServiceAccount:
      serviceAccountKeyPath: "my-folder/component-access-key.json"

`secretGroups[i].secrets.registerServiceAccount.serviceAccountKeyPath`

connect-register 服務帳戶的 JSON 金鑰檔案路徑。

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    registerServiceAccount:
      serviceAccountKeyPath: "my-folder/connect-register-key.json"

`secretGroups[i].secrets.stackdriverServiceAccount.serviceAccountKeyPath`

記錄監控服務帳戶的 JSON 金鑰檔案路徑。

範例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    stackdriverServiceAccount:
      serviceAccountKeyPath: "my-folder/log-mon-key.json"

`secretGroups[i].secrets.cloudAuditLoggingServiceAccount.serviceAccountKeyPath`

稽核記錄服務帳戶的 JSON 金鑰檔案路徑。

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    cloudAuditLoggingServiceAccount:
      serviceAccountKeyPath: "my-folder/audit-log-key.json"

`secretGroups[i].secrets.privateRegistry`

如果使用私人登錄檔，請提供該登錄檔的使用者名稱和密碼。

範例：

secretGroups:
- namespace: "gke-onprem-secrets-bob"
  secrets:
    privateRegistry:
      username: "registry-user-bob"
      password: "f[vuV3^@L*4g"

密鑰設定檔 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

填寫 Secrets 設定檔中的欄位

secretGroups

secretGroups[i].namespace

secretGroups[i].secrets.vCenter

secretGroups[i].secrets.f5BigIP

secretGroups[i].secrets.componentAccessServiceAccount.serviceAccountKeyPath

secretGroups[i].secrets.registerServiceAccount.serviceAccountKeyPath

secretGroups[i].secrets.stackdriverServiceAccount.serviceAccountKeyPath

secretGroups[i].secrets.cloudAuditLoggingServiceAccount.serviceAccountKeyPath

secretGroups[i].secrets.privateRegistry