Some or all of the information on this page might not apply to Trusted Cloud by S3NS. See Differences from Google Cloud for more details.

Questa pagina è stata tradotta dall'API Cloud Translation.

Risolvere i problemi relativi alla crittografia dei secret a livello di applicazione

Autopilot Standard

Questa pagina mostra come risolvere i problemi relativi alla crittografia dei secret a livello di applicazione in Google Kubernetes Engine (GKE).

Aggiornamento non riuscito

Quando aggiorni la configurazione della crittografia dei secret a livello di applicazione, GKE deve riscrivere tutti gli oggetti Secret nel cluster Kubernetes. GKE esegue questa operazione per garantire che tutti i secret siano criptati dalla nuova chiave Cloud KMS o vengano scritti senza crittografia se è questo che configuri.

L'operazione di aggiornamento può non riuscire a causa di una delle seguenti condizioni:

Il control plane Kubernetes non è temporaneamente disponibile durante l'aggiornamento.
Un AdmissionWebhook definito dall'utente impedisce a GKE di aggiornare gli oggetti Secret.
La chiave Cloud KMS aggiornata o precedente viene disattivata prima del completamento dell'operazione di aggiornamento.

Finché l'operazione di aggiornamento non va a buon fine, non interagire con le chiavi Cloud KMS aggiornate o precedenti.

Campi di debug

I cluster GKE nuovi che eseguono la versione 1.29 e successive contengono campi aggiuntivi che ti aiutano a monitorare gli aggiornamenti di Cluster.DatabaseEncryption e a eseguire il ripristino in caso di errori.

I seguenti passaggi si applicano solo ai cluster in cui il campo DatabaseEncryption.CurrentState non è vuoto. Se il campo CurrentState è vuoto, la funzionalità non è ancora abilitata in questa versione del cluster.

Ai seguenti campi si applicano i limiti indicati:

Sono solo output, il che significa che non puoi impostarli durante le richieste di creazione o aggiornamento del cluster.

Campo `CurrentState`

Puoi esaminare lo stato attuale di un'operazione di aggiornamento di DatabaseEncryption esaminando il campo CurrentState in Cluster.DatabaseEncryption.

Valore di CurrentState Descrizione

Valore di `CurrentState`	Descrizione
`CURRENT_STATE_ENCRYPTED` `CURRENT_STATE_DECRYPTED`	L'ultima operazione di aggiornamento è stata completata correttamente. Non sono necessari ulteriori interventi. Puoi smaltire le chiavi utilizzate in precedenza.
`CURRENT_STATE_ENCRYPTION_PENDING` `CURRENT_STATE_DECRYPTION_PENDING`	L'aggiornamento è in corso.
`CURRENT_STATE_ENCRYPTION_ERROR` `CURRENT_STATE_DECRYPTION_ERROR`	Si è verificato un errore con l'aggiornamento più recente. Non disattivare o distruggere le chiavi Cloud KMS utilizzate in precedenza, in quanto potrebbero essere ancora in uso da GKE. Per ulteriori informazioni, consulta il campo `LastOperationErrors`.

CURRENT_STATE_ENCRYPTED

CURRENT_STATE_DECRYPTED

L'ultima operazione di aggiornamento è stata completata correttamente. Non sono necessari ulteriori interventi. Puoi smaltire le chiavi utilizzate in precedenza.

CURRENT_STATE_ENCRYPTION_PENDING

CURRENT_STATE_DECRYPTION_PENDING

L'aggiornamento è in corso.

CURRENT_STATE_ENCRYPTION_ERROR

CURRENT_STATE_DECRYPTION_ERROR

Si è verificato un errore con l'aggiornamento più recente. Non disattivare o distruggere le chiavi Cloud KMS utilizzate in precedenza, in quanto potrebbero essere ancora in uso da GKE.

Per ulteriori informazioni, consulta il campo LastOperationErrors.

Campo `LastOperationErrors`

Quando un'operazione di aggiornamento non riesce, l'errore sottostante del piano di controllo GKE viene visualizzato nell'output di gcloud container clusters update.

I messaggi di errore delle due operazioni di aggiornamento non riuscite più recenti sono disponibili anche in Cluster.DatabaseEncryption.LastOperationErrors.

Campo `DecryptionKeys`

La chiave Cloud KMS utilizzata per le nuove operazioni di crittografia viene mostrata in DatabaseEncryption.KeyName. Di solito questa è l'unica chiave utilizzata dal cluster.

Tuttavia, DatabaseEncryption.DecryptionKeys contiene chiavi aggiuntive che vengono utilizzate anche dal cluster se è in corso un aggiornamento o dopo un errore.

Recuperare da un aggiornamento non riuscito

Per eseguire il ripristino dopo un aggiornamento non riuscito:

Esamina il messaggio di errore e risolvi i problemi indicati.
Riprova la richiesta di aggiornamento eseguendo il comando non riuscito, ad esempio gcloud container clusters update ... --database-encryption-key. Ti consigliamo di riprovare con la stessa richiesta di aggiornamento che hai inviato originariamente o di riportare il cluster allo stato precedente. GKE potrebbe non essere in grado di passare a una chiave diversa o a uno stato di crittografia se non riesce a leggere uno o più secret.

Le sezioni seguenti elencano i motivi comuni causa di errori.

Errore della chiave Cloud KMS

Se il messaggio di errore contiene un riferimento a una o più chiavi Cloud KMS, esamina la configurazione delle chiavi Cloud KMS per assicurarti che le versioni delle chiavi pertinenti siano utilizzabili.

Se l'errore indica che una chiave Cloud KMS è stata disattivata o eliminata, riattiva la chiave o la versione della chiave.

Errore: impossibile utilizzare la chiave CloudKMS configurata per la crittografia a livello di applicazione

Il seguente messaggio di errore si verifica se l'account di servizio predefinito di GKE non riesce ad accedere alla chiave Cloud KMS:

Cluster problem detected (Kubernetes Engine Service Agent account unable to use CloudKMS key configured for Application Level encryption).

Per risolvere il problema, riattiva la chiave disattivata.

Impossibile aggiornare il secret

Se l'API Kubernetes ha rifiutato la richiesta di aggiornamento a causa di un webhook di controllo dell'ammissione, potrebbe verificarsi il seguente errore:

error admission webhook WEBHOOK_NAME denied the request

Per risolvere questo errore, rimuovi il webhook o modificalo in modo che GKE possa aggiornare i secret in tutti gli spazi dei nomi durante gli aggiornamenti delle chiavi.

Errore: lo spazio dei nomi è gestito

Il seguente errore si verifica quando provi a crittografare nuovamente i secret che si trovano in uno spazio dei nomi gestito da GKE, ad esempio kube-system, in un cluster Autopilot. Il messaggio di errore è simile al seguente:

Error from server (Forbidden): secrets "alertmanager" is
forbidden: User cannot patch resource "secrets" in API group "" in the namespace "gke-gmp-system":
GKE Warden authz [denied by managed-namespaces-limitation]: the namespace "gke-gmp-system"
is managed and the request's verb "patch" is denied'

I cluster GKE Autopilot non consentono di modificare le risorse Kubernetes, inclusi i secret, negli spazi dei nomi gestiti.

Per risolvere questo errore:

Se utilizzi i comandi kubectl per crittografare nuovamente i secret, utilizza il flag --namespace per limitare l'ambito del comando agli spazi dei nomi che gestisci.
Se utilizzi un CronJob per crittografare nuovamente i secret, implementalo solo negli spazi dei nomi che gestisci.

Passaggi successivi

Se non riesci a trovare una soluzione al tuo problema nella documentazione, consulta la sezione Richiedere assistenza per ulteriore aiuto, inclusi consigli sui seguenti argomenti:
- Aprire una richiesta di assistenza contattando l'assistenza clienti cloud.
- Ricevere assistenza dalla community ponendo domande su StackOverflow e utilizzando il tag google-kubernetes-engine per cercare problemi simili. Puoi anche unirti al canale Slack #kubernetes-engine per ulteriore assistenza della community.
- Apertura di bug o richieste di funzionalità utilizzando lo strumento di monitoraggio dei problemi pubblico.