要安全地登录到 vSphere with Tanzu 集群(包括 主管集群Tanzu Kubernetes 集群),请使用相应的 TLS 证书配置 kubectl 的 vSphere 插件,并确保运行最新版本的插件。

主管集群 CA 证书

vSphere with Tanzu 支持使用 kubectl 的 vSphere 插件 命令 kubectl vsphere login … 通过 vCenter Single Sign-On 访问集群。要安装并使用此实用程序,请参见下载并安装 适用于 vSphere 的 Kubernetes CLI 工具

kubectl 的 vSphere 插件 默认为安全登录,需要可信证书,默认证书是由 vCenter Server 根 CA 签名的证书。尽管插件支持 --insecure-skip-tls-verify 标记,但出于安全考虑,不建议这样做。

要使用 kubectl 的 vSphere 插件 安全地登录到 主管集群Tanzu Kubernetes 集群,有两个选项可选:
选项 说明

在每个客户机上下载并安装 vCenter Server 根 CA 证书。

请参阅 VMware 知识库文章如何下载并安装 vCenter Server root 证书

将用于 主管集群 的 VIP 证书替换为每个客户机信任的 CA 签名的证书。

请参见替换 VIP 证书以安全地连接到 主管集群 API 端点

注: 有关 vSphere 身份验证的其他信息(包括 vCenter Single Sign-On、管理和轮换 vCenter Server 证书以及对身份验证进行故障排除),请参见 vSphere 身份验证文档。

Tanzu Kubernetes 集群 CA 证书

要使用 kubectl CLI 安全地与 Tanzu Kubernetes 集群 API 服务器进行连接,需要下载 Tanzu Kubernetes 集群 CA 证书。

如果使用的是最新版本的 kubectl 的 vSphere 插件,则首次登录到 Tanzu Kubernetes 集群时,该插件会在 kubconfig 文件中注册 Tanzu Kubernetes 集群 CA 证书。此证书存储在名为 TANZU-KUBERNETES-CLUSTER-NAME-ca 的 Kubernetes 密钥中。该插件使用此证书在相应集群的证书颁发机构数据存储中填充 CA 信息。

如果要更新 vSphere with Tanzu,请确保更新到插件的最新版本。请参见更新 kubectl 的 vSphere 插件