Como administrador do vSphere, você pode substituir o certificado para o endereço IP virtual (VIP) para se conectar com segurança ao endpoint da API do Supervisor Cluster por um certificado assinado por uma CA na qual seus hosts já confiam. O certificado autentica o plano de controle do Kubernetes para os engenheiros de DevOps, durante o login e as interações subsequentes com o Supervisor Cluster.

Pré-requisitos

Verifique se você tem acesso a uma autoridade de certificação que pode assinar CSRs. Para engenheiros de DevOps, a autoridade de certificação deve ser instalada em seu sistema como uma raiz confiável.

Procedimento

  1. No vSphere Client, navegue até o Supervisor Cluster.
  2. Clique em Configurar (Configure) e, em Namespaces (Namespaces), selecione Certificados (Certificates).
  3. No painel Workload platform MTG (Workload platform MTG), selecione Actions (Actions) > Generate CSR (Generate CSR).
  4. Forneça os detalhes do certificado.
  5. Quando a CSR for gerada, clique em Copiar (Copy).
  6. Assine o certificado com uma CA.
  7. No painel Workload platform MTG (Workload platform MTG), selecione Actions (Actions) > Replace Certificate (Replace Certificate).
  8. Carregue o arquivo de certificado assinado e clique em Replace Certificate (Replace Certificate).
  9. Valide o certificado no endereço IP do plano de controle do Kubernetes.
    Por exemplo, você pode abrir a página de download do Kubernetes CLI Tools for vSphere e confirmar se o certificado foi substituído com êxito usando o navegador. Em um sistema Linux ou Unix, você também pode usar o echo | openssl s_client -connect https://ip:6443.