Wenn beim Hinzufügen zusätzlicher vertrauenswürdiger CA-Zertifikate zu einem TKG-Cluster Probleme auftreten, finden Sie weitere Informationen hierzu in diesem Thema.
Fehlerbehebung bei zusätzlichen vertrauenswürdigen Zertifizierungsstellen
Mithilfe der v1alpha3- oder v1beta1-API können Sie eine trust-Variable einschließen, die Werte für zusätzliche vertrauenswürdige CA-Zertifikate enthält. Der allgemeine Anwendungsfall besteht im Hinzufügen eines Zertifikats für eine private Containerregistrierung zum Cluster. Weitere Informationen hierzu finden Sie unter Integrieren von TKG-Dienst-Clustern in eine private Containerregistrierung.
topology:
variables:
- name: trust
value:
additionalTrustedCAs:
- name: my-ca
apiVersion: v1 data: my-ca: # Double Base64 encoded CA certificate kind: Secret metadata: name: CLUSTER_NAME-user-trusted-ca-secret namespace: tap type: Opaque
Wenn Sie eine trust.additionalTrustedCAs-Instanz zu einer TKG-Clusterspezifikation hinzufügen, aktualisiert Supervisor die Clusterknoten als paralleles Update. Wenn es jedoch zu einem Fehler bei den trust-Werten kommt, werden die Maschinen nicht ordnungsgemäß gestartet und können dem Cluster nicht beitreten.
ls cannot access '/var/tmp/_var_ib_containerd': No such file or directory
"default.validating.tanzukubernetescluster.run.tanzu.vmware.com" denied the request: Invalid certificate internalharbor, Error decoding PEM block for internalharbor in the TanzuKubernetesCluster spec's trust configuration
Wenn Sie nicht die richtige Kodierung verwenden, werden die Maschinenknoten nicht angezeigt, und obiger Fehler wird angezeigt. Kodieren Sie zur Behebung des Problems den Inhalt des Zertifikats und fügen Sie den Wert zur Datenzuordnung des geheimen Schlüssels hinzu.
Sie können „kubectl replace -f /tmp/kubectl-edit-2005376329.yaml“ ausführen, um dieses Update zu wiederholen.
