作为 vSphere 管理员,可以替换虚拟 IP 地址 (VIP) 的证书,以便使用主机信任的 CA 签名的证书安全地连接到 主管集群 API 端点。该证书将在登录期间以及与 主管集群 进行后续交互期间为 DevOps 工程师进行 Kubernetes 控制平面身份验证。

前提条件

验证您是否有权访问可对 CSR 进行签名的 CA。对于 DevOps 工程师,必须将此 CA 作为可信 root 安装到其系统中。

过程

  1. vSphere Client 中,导航到 主管集群
  2. 单击配置,然后在命名空间下选择证书
  3. 工作负载平台管理窗格中,选择操作 > 生成 CSR
  4. 提供证书的详细信息。
  5. 生成 CSR 后,单击复制
  6. 使用 CA 对证书进行签名。
  7. 工作负载平台管理窗格中选择操作 > 替换证书
  8. 上载签名证书文件,然后单击替换证书
  9. 验证此证书以确认 Kubernetes 控制平面的 IP 地址。
    例如,可以使用浏览器打开 适用于 vSphere 的 Kubernetes CLI 工具 下载页面并确认已成功替换此证书。在 Linux 或 Unix 系统上,也可以使用 echo | openssl s_client -connect https://ip:6443