更新叢集憑證

本頁面說明如何更新 Google Distributed Cloud 管理員叢集或使用者叢集的 vCenter 和 F5 BIG-IP 憑證。

不過,使用者和管理員叢集的 SSH 金鑰無法透過這項或其他標準程序變更或輪替。如果安全政策規定必須定期輪替安全殼層金鑰,請重新建立叢集,以建立新的安全殼層金鑰。

更新 vSphere 憑證

您要新增至叢集的 vCenter 憑證必須已存在。瞭解 vCenter 角色和使用者權限

管理員叢集和每個使用者叢集一開始都會設定為使用您建立這些叢集時所用的 vCenter 使用者名稱和密碼管理員叢集設定檔和每個使用者叢集設定檔都包含憑證檔案的參照。每個叢集的參照可能不同。

如要更新叢集上的 vCenter 憑證,請按照下列步驟操作:

  1. 在管理員工作站中,使用編輯器開啟憑證設定檔

    更新憑證設定檔中的 usernamepassword 屬性。

  2. 執行 gkectl update credentials vsphere 指令,將變更部署至叢集:

    gkectl update credentials vsphere \
      --config CLUSTER_CONFIG \
      --kubeconfig CLUSTER_KUBECONFIG \
      --admin-cluster

    更改下列內容:

    • CLUSTER_CONFIG:指定管理員叢集設定檔使用者叢集設定檔,視您要更新的叢集而定。該叢集設定檔包含要部署至叢集的 vCenter 憑證參照。
    • ADMIN_CLUSTER_KUBECONFIG:指定管理員叢集的 kubeconfig 檔案。範例:kubeconfig

      如要更新管理員叢集的憑證,您也必須加上 --admin-cluster 旗標。

    • --admin-cluster:如果您要將變更部署至管理員叢集,就必須使用這個標記。將變更部署至使用者叢集時,請排除這個旗標。

    結果:系統會立即根據伺服器驗證變更後的 vCenter 憑證,並在終端機輸出確認訊息:「vsphere credentials updated successfully」。如果新憑證無法登入 vCenter 伺服器,您可以編輯憑證檔案中的 usernamepassword,然後重新部署變更。

    範例:

    • 使用者叢集範例:

      gkectl update credentials vsphere \
      --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

      如果成功,結果輸出內容會顯示 vSphere 憑證已更新成功。

    • 管理員叢集範例:

      gkectl update credentials vsphere \
      --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --admin-cluster

      結果:

      validating new credentials against vcenter
      restarted "deployment/clusterapi-controllers" in namespace "kube-system"
      vsphere credentials updated successfully.

更新管理員叢集或使用者叢集的 F5 BIG-IP 憑證

在 F5 網頁介面中更新 F5 BIG-IP 憑證。

在管理員工作站上,按照下列步驟更新管理員叢集或使用者叢集的 F5 BIG-IP 憑證。

  1. 編輯 F5 憑證檔案,變更憑證。

  2. 更新叢集的 F5 BIG-IP 憑證:

    gkectl update credentials f5bigip --config CLUSTER_CONFIG \
       --kubeconfig ADMIN_CLUSTER_KUBECONFIG --admin-cluster
    

更新管理員叢集或使用者叢集的私人登錄檔憑證

您可以更新叢集的私有登錄檔憑證和憑證 (支援伺服器更新)。更新時,目前和新的憑證都必須能夠連線至私人登錄檔。

在管理員工作站上,按照下列步驟更新管理員叢集或使用者叢集的私有登錄憑證。

  1. 憑證設定檔中更新私有登錄檔憑證。

  2. 更新叢集,使用新的私人登錄檔憑證:

    管理員叢集:

    gkectl update credentials privateregistry --config CLUSTER_CONFIG \
       --kubeconfig ADMIN_CLUSTER_KUBECONFIG --admin-cluster
    

    使用者叢集:

    gkectl update credentials privateregistry --config CLUSTER_CONFIG \
       --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

更新其他憑證

如要更新身分與存取權管理服務帳戶的金鑰,請參閱「輪替服務帳戶金鑰」。