请参阅示例 YAML,了解如何使用 v1alpha3 API 为 TanzuKubernetesCluster 置备 SSL/TLS 的其他受信任 CA 证书。

v1alpha3 示例:具有其他受信任 CA 证书的 TKC

按如下方式自定义集群。有关详细信息,请参阅 v1alpha3 API 规范
  • 集群规范的 network.trust.additionalTrustedCAs 部分中声明了其他受信任的 CA 证书
  • additionalTrustedCAs 字段是名称-值对的数组:
    • name 字段是用户定义的字符串
    • data 值是采用 base64 编码的 PEM 格式 CA 证书的内容
apiVersion: run.tanzu.vmware.com/v1alpha3
kind: TanzuKubernetesCluster
metadata:
  name: tkc-additional-trusted-cas
  namespace: tkgs-cluster-ns
spec:
  topology:
    controlPlane:
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
    nodePools:
    - name: worker
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
  settings:
    storage:
      defaultClass: tkgs-storage-policy
    network:
      trust:
        additionalTrustedCAs:
          - name: CompanyInternalCA-1
            data: LS0tLS1C...LS0tCg==
          - name: CompanyInternalCA-2
            data: MTLtMT1C...MT0tPg==

过程:新集群

完成以下过程,以在新的 TKGS 集群中包含一个或多个其他受信任的 CA 证书。
  1. additionalTrustedCAs 字段中填充一个或多个 CA 证书的名称和数据值。
  2. 像平时一样置备集群。

    请参见使用 Kubectl 置备 TKG 集群的工作流

  3. 成功置备集群后,您添加的 CA 证书将受集群信任。

过程:现有集群

完成以下过程,以将一个或多个其他受信任的 CA 证书添加到现有集群。
  1. 确认您已配置 kubectl 编辑。

    请参见为 Kubectl 配置文本编辑器

  2. 编辑集群规范。
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
  3. network.trust.additionalTrustedCAs 部分添加到规范中。
  4. additionalTrustedCAs 字段中填充一个或多个 CA 证书的名称和数据值。
  5. 在文本编辑器中保存更改,并验证 kubectl 是否已注册这些更改。
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
tanzukubernetescluster.run.tanzu.vmware.com/tkgs-cluster-name edited
  6. 为集群启动滚动更新时,将添加其他受信任的 CA 证书。

    请参见了解 TKG 服务 集群的滚动更新模型

验证其他受信任的 CA 证书

添加到集群的其他受信任 CA 证书包含在集群的 kubeconfig 文件中。

对其他受信任的 CA 证书进行故障排除

请参见对其他受信任 CA 的错误进行故障排除

用例

最常见的用例是添加其他受信任的 CA 以连接到容器注册表。请参见将 TKG 服务 集群与专用容器注册表集成