Damit Sie sich sicher bei Supervisor- und Tanzu Kubernetes Grid-Clustern anmelden können, konfigurieren Sie das vSphere-Plug-In für kubectl mit dem entsprechenden TLS-Zertifikat und achten Sie darauf, dass Sie die neueste Version des Plug-In ausführen.
Supervisor-CA-Zertifikat
vSphere IaaS control plane unterstützt vCenter Single Sign-On für den Clusterzugriff mithilfe des vSphere-Plug-In für kubectl-Befehls kubectl vsphere login …
. Informationen zum Installieren und Verwenden dieses Dienstprogramms finden Sie unter Herunterladen und Installieren von Kubernetes-CLI-Tools für vSphere.
Das vSphere-Plug-In für kubectl verwendet standardmäßig eine sichere Anmeldung und erfordert ein vertrauenswürdiges Zertifikat, wobei standardmäßig das von der vCenter Server-Stammzertifizierungsstelle signierte Zertifikat verwendet wird. Das Plug-In unterstützt zwar das --insecure-skip-tls-verify
-Flag, aber dies wird aus Sicherheitsgründen nicht empfohlen.
Option | Anleitung |
---|---|
Laden Sie das Zertifikat der vCenter Server-Stammzertifizierungsstelle herunter und installieren Sie es auf jedem Clientcomputer. |
Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel Vorgehensweise zum Herunterladen und Installieren von vCenter Server-Stammzertifikaten. |
Ersetzen Sie das für Supervisor verwendete VIP-Zertifikat durch ein Zertifikat, das von einer Zertifizierungsstelle signiert wurde, der jede Clientmaschine vertraut. |
Siehe Ersetzen des VIP-Zertifikats zur sicheren Verbindung mit dem Supervisor-API-Endpoint. |
CA-Zertifikat für Tanzu Kubernetes Grid-Cluster
Um mithilfe der kubectl
-CLI eine sichere Verbindung mit dem API-Server des Tanzu Kubernetes-Clusters herzustellen, müssen Sie das CA-Zertifikat für den Tanzu Kubernetes-Cluster herunterladen.
Wenn Sie die neueste Ausgabe des vSphere-Plug-In für kubectl verwenden, registriert das Plug-In bei Ihrer ersten Anmeldung beim Tanzu Kubernetes Grid-Cluster das CA-Zertifikat für den Tanzu Kubernetes-Cluster in Ihrer kubeconfig-Datei. Dieses Zertifikat wird im geheimen Kubernetes-Schlüssel mit dem Namen TANZU-KUBERNETES-CLUSTER-NAME-ca
gespeichert. Das Plug-In verwendet dieses Zertifikat, um die CA-Informationen im Datenspeicher der Zertifizierungsstelle des entsprechenden Clusters aufzufüllen.
Wenn Sie vSphere IaaS control plane aktualisieren, stellen Sie sicher, dass das Update auf die neueste Version des Plug-Ins erfolgt. Weitere Informationen finden Sie unter Aktualisieren des vSphere-Plug-Ins für kubectl in Wartung der vSphere IaaS-Steuerungsebene.