In der Beispiel-YAML finden Sie Informationen zur Bereitstellung eines TanzuKubernetesClusters unter Verwendung der v1alpha3-API mit zusätzlichen vertrauenswürdigen CA-Zertifikaten für SSL/TLS.

v1alpha3-Beispiel: TKC mit zusätzlichen vertrauenswürdigen CA-Zertifikaten

Der Cluster wird folgendermaßen angepasst. Weitere Informationen finden Sie in der Spezifikation der v1alpha3-API.
  • Zusätzliche vertrauenswürdige CA-Zertifikate werden im Abschnitt network.trust.additionalTrustedCAs der Clusterspezifikation deklariert.
  • Das Feld additionalTrustedCAs stellt ein Array von Name/Wert-Paaren dar:
    • Das Feld name ist eine benutzerdefinierte Zeichenfolge.
    • Bei dem Wert data handelt es sich um den Inhalt des CA-Zertifikats im PEM-Format, das Base64-codiert ist.
apiVersion: run.tanzu.vmware.com/v1alpha3
kind: TanzuKubernetesCluster
metadata:
  name: tkc-additional-trusted-cas
  namespace: tkgs-cluster-ns
spec:
  topology:
    controlPlane:
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
    nodePools:
    - name: worker
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
  settings:
    storage:
      defaultClass: tkgs-storage-policy
    network:
      trust:
        additionalTrustedCAs:
          - name: CompanyInternalCA-1
            data: LS0tLS1C...LS0tCg==
          - name: CompanyInternalCA-2
            data: MTLtMT1C...MT0tPg==

Verfahren: Neuer Cluster

Führen Sie folgendes Verfahren aus, um mindestens ein zusätzliches vertrauenswürdiges CA-Zertifikat in einen neuen TKGS-Cluster aufzunehmen.
  1. Befüllen Sie das Feld additionalTrustedCAs mit dem Namen und dem Datenwert für ein oder mehrere CA-Zertifikate.
  2. Stellen Sie den Cluster wie gewohnt bereit.

    Weitere Informationen hierzu finden Sie unter Workflow zum Bereitstellen von TKG-Clustern auf mithilfe von Kubectl.

  3. Nach der erfolgreichen Bereitstellung des Clusters werden die von Ihnen hinzugefügten CA-Zertifikate vom Cluster als vertrauenswürdig eingestuft.

Verfahren: Vorhandener Cluster

Führen Sie das folgende Verfahren aus, um einem vorhandenen Cluster mindestens ein zusätzliches vertrauenswürdiges CA-Zertifikat hinzuzufügen.
  1. Stellen Sie sicher, dass Sie die kubectl-Bearbeitung konfiguriert haben.

    Weitere Informationen hierzu finden Sie unter Konfigurieren eines Texteditors für Kubectl.

  2. Bearbeiten Sie die Clusterspezifikation.
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
  3. Fügen Sie den Abschnitt network.trust.additionalTrustedCAs zur Spezifikation hinzu.
  4. Befüllen Sie das Feld additionalTrustedCAs mit dem Namen und dem Datenwert für ein oder mehrere CA-Zertifikate.
  5. Speichern Sie die Änderungen im Texteditor und stellen Sie sicher, dass die Änderungen von kubectl registriert wurden.
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
tanzukubernetescluster.run.tanzu.vmware.com/tkgs-cluster-name edited
  6. Wenn ein paralleles Update für den Cluster initiiert wird, werden die zusätzlichen vertrauenswürdigen CA-Zertifikate hinzugefügt.

    Weitere Informationen hierzu finden Sie unter Grundlegendes zum Modell für parallele Updates für TKG-Dienstcluster.

Überprüfen zusätzlicher vertrauenswürdiger CA-Zertifikate

Die zusätzlichen vertrauenswürdigen CA-Zertifikate, die dem Cluster hinzugefügt wurden, sind in der Kubeconfig-Datei für den Cluster enthalten.

Fehlerbehebung bei zusätzlichen vertrauenswürdigen CA-Zertifikaten

Weitere Informationen hierzu finden Sie unter Fehlerbehebung bei zusätzlichen vertrauenswürdigen Zertifizierungsstellen.

Anwendungsbeispiele

Der häufigste Anwendungsfall besteht im Hinzufügen einer zusätzlichen vertrauenswürdigen Zertifizierungsstelle zum Herstellen einer Verbindung mit einer Containerregistrierung. Weitere Informationen hierzu finden Sie unter Integrieren von TKG-Dienst-Clustern in eine private Containerregistrierung.