要安全地登录到 vSphere with Tanzu 集群(包括 主管Tanzu Kubernetes 集群),请使用相应的 TLS 证书配置 kubectl 的 vSphere 插件,并确保运行最新版本的插件。

主管 CA 证书

vSphere with Tanzu 支持使用 kubectl 的 vSphere 插件 命令 kubectl vsphere login … 通过 vCenter Single Sign-On 访问集群。要安装并使用此实用程序,请参见下载并安装 适用于 vSphere 的 Kubernetes CLI 工具

kubectl 的 vSphere 插件 默认为安全登录,需要可信证书,默认证书是由 vCenter Server 根 CA 签名的证书。尽管插件支持 --insecure-skip-tls-verify 标记,但出于安全考虑,不建议这样做。

要使用 kubectl 的 vSphere 插件 安全地登录到 主管Tanzu Kubernetes 集群,有两个选项可选:
选项 说明

在每个客户机上下载并安装 vCenter Server 根 CA 证书。

请参阅 VMware 知识库文章如何下载并安装 vCenter Server root 证书

将用于 主管 的 VIP 证书替换为每个客户机信任的 CA 签名的证书。

请参见替换 VIP 证书以安全地连接到 主管 API 端点

注: 有关 vSphere 身份验证的其他信息(包括 vCenter Single Sign-On、管理和轮换 vCenter Server 证书以及对身份验证进行故障排除),请参见 vSphere 身份验证文档。有关 vSphere with Tanzu 证书的详细信息,请参见 VMware 知识库文章 89324

Tanzu Kubernetes 集群 CA 证书

要使用 kubectl CLI 安全地与 Tanzu Kubernetes 集群 API 服务器进行连接,需要下载 Tanzu Kubernetes 集群 CA 证书。

如果使用的是最新版本的 kubectl 的 vSphere 插件,则首次登录到 Tanzu Kubernetes 集群时,该插件会在 kubconfig 文件中注册 Tanzu Kubernetes 集群 CA 证书。此证书存储在名为 TANZU-KUBERNETES-CLUSTER-NAME-ca 的 Kubernetes 密钥中。该插件使用此证书在相应集群的证书颁发机构数据存储中填充 CA 信息。

如果要更新 vSphere with Tanzu,请确保更新到插件的最新版本。请参见《维护 vSphere with Tanzu》中的更新 kubectl 的 vSphere 插件