Konfigurieren der sicheren Anmeldung für vSphere IaaS control plane-Cluster

Damit Sie sich sicher bei Supervisor- und Tanzu Kubernetes Grid-Clustern anmelden können, konfigurieren Sie das vSphere-Plug-In für kubectl mit dem entsprechenden TLS-Zertifikat und achten Sie darauf, dass Sie die neueste Version des Plug-In ausführen.

Supervisor-CA-Zertifikat

vSphere IaaS control plane unterstützt vCenter Single Sign-On für den Clusterzugriff mithilfe des vSphere-Plug-In für kubectl-Befehls kubectl vsphere login …. Informationen zum Installieren und Verwenden dieses Dienstprogramms finden Sie unter Herunterladen und Installieren von Kubernetes-CLI-Tools für vSphere.

Das vSphere-Plug-In für kubectl verwendet standardmäßig eine sichere Anmeldung und erfordert ein vertrauenswürdiges Zertifikat, wobei standardmäßig das von der vCenter Server-Stammzertifizierungsstelle signierte Zertifikat verwendet wird. Das Plug-In unterstützt zwar das --insecure-skip-tls-verify-Flag, aber dies wird aus Sicherheitsgründen nicht empfohlen.

Um sich mit dem vSphere-Plug-In für kubectl sicher bei den Supervisor- und Tanzu Kubernetes Grid-Clustern anzumelden, haben Sie zwei Möglichkeiten:

Option	Anleitung
Laden Sie das Zertifikat der vCenter Server-Stammzertifizierungsstelle herunter und installieren Sie es auf jedem Clientcomputer.	Weitere Informationen finden Sie im VMware-Knowledgebase-Artikel Vorgehensweise zum Herunterladen und Installieren von vCenter Server-Stammzertifikaten.
Ersetzen Sie das für Supervisor verwendete VIP-Zertifikat durch ein Zertifikat, das von einer Zertifizierungsstelle signiert wurde, der jede Clientmaschine vertraut.	Siehe Ersetzen des VIP-Zertifikats zur sicheren Verbindung mit dem Supervisor-API-Endpoint.

Hinweis: Weitere Informationen zur vSphere-Authentifizierung, einschließlich vCenter Single Sign-On, Verwaltung und Rotation von vCenter Server-Zertifikaten und Fehlerbehebung bei der Authentifizierung, finden Sie in der Dokumentation zu vSphere Authentication. Weitere Informationen zu Zertifikaten für vSphere IaaS control plane finden Sie im VMware Knowledgebase-Artikel 89324.

CA-Zertifikat für Tanzu Kubernetes Grid-Cluster

Um mithilfe der kubectl-CLI eine sichere Verbindung mit dem API-Server des Tanzu Kubernetes-Clusters herzustellen, müssen Sie das CA-Zertifikat für den Tanzu Kubernetes-Cluster herunterladen.

Wenn Sie die neueste Ausgabe des vSphere-Plug-In für kubectl verwenden, registriert das Plug-In bei Ihrer ersten Anmeldung beim Tanzu Kubernetes Grid-Cluster das CA-Zertifikat für den Tanzu Kubernetes-Cluster in Ihrer kubeconfig-Datei. Dieses Zertifikat wird im geheimen Kubernetes-Schlüssel mit dem Namen TANZU-KUBERNETES-CLUSTER-NAME-ca gespeichert. Das Plug-In verwendet dieses Zertifikat, um die CA-Informationen im Datenspeicher der Zertifizierungsstelle des entsprechenden Clusters aufzufüllen.

Wenn Sie vSphere IaaS control plane aktualisieren, stellen Sie sicher, dass das Update auf die neueste Version des Plug-Ins erfolgt. Weitere Informationen finden Sie unter Aktualisieren des vSphere-Plug-Ins für kubectl in Wartung der vSphere IaaS-Steuerungsebene.