Para fazer login com segurança em clusters vSphere with Tanzu, incluindo os clusters Supervisor e Tanzu Kubernetes, configure o vSphere Plugin for kubectl com o certificado TLS apropriado e verifique se você está executando a edição mais recente do plug-in.

Supervisor Certificado de CA

vSphere with Tanzu oferece suporte a vCenter Single Sign-On para acesso ao cluster usando o comando vSphere Plugin for kubectl kubectl vsphere login …. Para instalar e usar esse utilitário, consulte Baixe e instale o Kubernetes CLI Tools for vSphere.

O padrão vSphere Plugin for kubectl é o login seguro e requer um certificado confiável, sendo o padrão o certificado assinado pela CA raiz vCenter Server. Embora o plug-in seja compatível com o sinalizador --insecure-skip-tls-verify, isso não é recomendado por motivos de segurança.

Para fazer login com segurança nos clusters Supervisor e Tanzu Kubernetes usando o vSphere Plugin for kubectl, você tem duas opções:
Opção Instruções

Baixe e instale o certificado de autoridade de certificação raiz vCenter Server em cada máquina cliente.

Consulte o artigo da base de conhecimento VMware Como fazer download e instalar vCenter Server certificados raiz.

Substitua o certificado VIP usado para o Supervisor por um certificado assinado por uma CA em que cada máquina cliente confia.

Consulte Substituir o certificado VIP para conectar-se com segurança ao endpoint da API Supervisor

Observação: Para obter informações adicionais sobre autenticação vSphere, incluindo vCenter Single Sign-On, gerenciamento e rotação de certificados vCenter Server e solução de problemas de autenticação, consulte a documentação vSphereAutenticação.

Certificado de CA de cluster Tanzu Kubernetes

Para se conectar com segurança ao servidor de API de cluster do Tanzu Kubernetes usando a CLI do kubectl, você precisa fazer download do certificado de CA do cluster do Tanzu Kubernetes.

Se você estiver usando a edição mais recente do vSphere Plugin for kubectl, na primeira vez que fizer login no cluster Tanzu Kubernetes, o plug-in registrará o certificado de CA do cluster Tanzu Kubernetes no arquivo kubeconfig. Esse certificado é armazenado no segredo do Kubernetes chamado TANZU-KUBERNETES-CLUSTER-NAME-ca. O plug-in usa esse certificado para preencher as informações da CA no armazenamento de dados da autoridade de certificação do cluster correspondente.

Se você estiver atualizando o vSphere with Tanzu, certifique-se de atualizar para a versão mais recente do plug-in. Consulte Atualizar o vSphere Plug-in para kubectl em Manutenção de vSphere with Tanzu.