2

我正在使用 Gcloud 运行 Prow(持续集成服务器)。我的一项工作是创建一个虚拟机,执行一些测试,然后删除该实例。我使用服务帐户来创建 VM,运行测试。

#!/bin/bash

set -o errexit

cleanup() {
    gcloud compute instances delete kyma-integration-test-${RANDOM_ID}
}


gcloud config set project ...
gcloud auth activate-service-account --key-file ...

gcloud compute instances create <vm_name> \
    --metadata enable-oslogin=TRUE \
    --image debian-9-stretch-v20181009 \
    --image-project debian-cloud --machine-type n1-standard-4 --boot-disk-size 20 \

trap cleanup exit

gcloud compute scp --strict-host-key-checking=no --quiet <script.sh> <vm_name>:~/<script.sh>

gcloud compute ssh --quiet <vm_name> -- ./<script.sh>

一段时间后,我收到以下错误:

ERROR: (gcloud.compute.scp) INVALID_ARGUMENT: Login profile size exceeds 32 KiB. Delete profile values to make additional space.

实际上,对于该服务帐户,describe命令会返回大量数据,例如sshPublicKeys部分中的约 70 个条目。

gcloud auth activate-service-account --key-file ... gcloud compute os-login describe-profile

这些公钥中的大部分都引用了已删除的 VM 实例。如何执行此列表的清理?或者是否有可能根本不存储该公钥?

4

4 回答 4

3

一种对我有用的非常粗略的方法是:

for i in $(gcloud compute os-login ssh-keys list); do echo $i; gcloud compute os-login ssh-keys remove --key $i; done

在删除了几十个键后,我停止了这个(使用 Control-C),然后它再次工作。

实际上,在 GUI 中的项目元数据中,我没有看到很多关键点。仅有的 :

  • gke...cidr:网络名称...
  • sshKeys:gke-e9 ...
  • SSH 密钥 => peter_v : ssh-rsa 我的公钥
于 2019-01-24T16:37:32.803 回答
2

永久的解决方案是使用--ssh-key-expire-after 30s. 您仍然需要使用上述解决方案或像这样的更多命令功夫(没有 grep)来清理现有密钥。

for i in $(gcloud compute os-login ssh-keys list --format="table[no-heading](value.fingerprint)"); do 
  echo $i; 
  gcloud compute os-login ssh-keys remove --key $i || true; 
done

注意:您必须使用有问题的帐户。gcloud config account activate ACCOUNT和/gcloud auth activate-service-account --key-file=FILEgcloud auth login

在脚本中需要一个新的 ssh 密钥:

# KEYNAME should be something like $HOME/.ssh/google_compute_engine
ssh-keygen -t rsa -N "" -f "${KEYNAME}" -C "${USERNAME}" || true
chmod 400 ${KEYNAME}*

cat > ssh-keys <<EOF
${USERNAME}:$(cat ${KEYNAME}.pub)
EOF

测试此解决方案:

while :; do
  USERNAME=testing@test-project.iam.gserviceaccount.com
  KEYNAME=~/.ssh/google_compute_engine
  rm -f ~/.ssh/google_compute_engine*
  ssh-keygen -t rsa -N "" -f "${KEYNAME}" -C "${USERNAME}" || true
  chmod 400 ${KEYNAME}*
  cat > ssh-keys <<EOF
  ${USERNAME}:$(cat ${KEYNAME}.pub)
EOF
  gcloud --project=test-project compute ssh --ssh-key-expire-after 30s one-bastion-to-rule-them-all -- date
  gcloud --project=test-project compute os-login ssh-keys list --format="table[no-heading](value.fingerprint)" \
    |wc -l
done
于 2021-05-26T20:32:14.253 回答
0

看到您在问题中提到操作系统登录:有一种方法可以使用此命令从用户的配置文件中删除特定的 SSH 密钥。或者,我建议您不要执行 SCP,就像 John Hanley 所做的那样,将您正在复制的文件放入 Storage 中的实例中,并通过启动脚本检索它(您也可以使用自定义计算映像)。

于 2019-01-22T10:20:05.297 回答
0

这些密钥存储在您的项目元数据中,您可以通过 Google 控制台 UI 删除它们来删除它们

于 2018-11-11T19:19:20.677 回答