Konfigurieren der sicheren Anmeldung für vSphere with Tanzu-Cluster

Damit Sie sich sicher bei vSphere with Tanzu-Clustern, einschließlich der Supervisor-Cluster und Tanzu Kubernetes-Cluster, anmelden können, konfigurieren Sie das vSphere-Plug-In für kubectl mit dem entsprechenden TLS-Zertifikat und achten Sie darauf, dass Sie die neueste Edition des Plug-Ins ausführen.

Supervisor-Cluster-CA-Zertifikat

vSphere with Tanzu unterstützt vCenter Single Sign-On für den Clusterzugriff mithilfe des vSphere-Plug-In für kubectl-Befehls kubectl vsphere login …. Informationen zum Installieren und Verwenden dieses Dienstprogramms finden Sie unter Herunterladen und Installieren von Kubernetes-CLI-Tools für vSphere.

Das vSphere-Plug-In für kubectl verwendet standardmäßig eine sichere Anmeldung und erfordert ein vertrauenswürdiges Zertifikat, wobei standardmäßig das von der vCenter Server-Stammzertifizierungsstelle signierte Zertifikat verwendet wird. Das Plug-In unterstützt das Flag --insecure-skip-tls-verify zwar, aber dies wird aus Sicherheitsgründen nicht empfohlen.

Um sich mit dem vSphere-Plug-In für kubectl sicher bei den Supervisor-Clustern und Tanzu Kubernetes-Clustern anzumelden, haben Sie zwei Möglichkeiten:

Option	Anleitung
Laden Sie das Zertifikat der vCenter Server-Stammzertifizierungsstelle herunter und installieren Sie es auf jedem Clientcomputer.	Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel Vorgehensweise zum Herunterladen und Installieren von vCenter Server-Stammzertifikaten.
Ersetzen Sie das für Supervisor-Cluster verwendete VIP-Zertifikat durch ein Zertifikat, das von einer Zertifizierungsstelle signiert wurde, der jede Clientmaschine vertraut.	Siehe Ersetzen des VIP-Zertifikats zur sicheren Verbindung mit dem Supervisor-Cluster-API-Endpoint.

Hinweis: Weitere Informationen zur vSphere-Authentifizierung, einschließlich vCenter Single Sign-On, Verwaltung und Rotation von vCenter Server-Zertifikaten und Fehlerbehebung bei der Authentifizierung, finden Sie in der Dokumentation zu vSphere Authentication.

CA-Zertifikat für Tanzu Kubernetes-Cluster

Um mithilfe der kubectl-CLI eine sichere Verbindung mit dem API-Server des Tanzu Kubernetes-Clusters herzustellen, müssen Sie das CA-Zertifikat für den Tanzu Kubernetes-Cluster herunterladen.

Wenn Sie die neueste Edition des vSphere-Plug-In für kubectl verwenden, registriert das Plug-In bei Ihrer ersten Anmeldung beim Tanzu Kubernetes-Cluster das CA-Zertifikat für den Tanzu Kubernetes-Cluster in Ihrer kubeconfig-Datei. Dieses Zertifikat wird im geheimen Kubernetes-Schlüssel mit dem Namen TANZU-KUBERNETES-CLUSTER-NAME-ca gespeichert. Das Plug-In verwendet dieses Zertifikat, um die CA-Informationen im Datenspeicher der Zertifizierungsstelle des entsprechenden Clusters aufzufüllen.

Wenn Sie vSphere with Tanzu aktualisieren, stellen Sie sicher, dass das Update auf die neueste Version des Plug-Ins erfolgt. Weitere Informationen hierzu finden Sie unter Update des vSphere-Plug-In für kubectl.