In der Beispiel-YAML finden Sie Informationen zur Bereitstellung eines TanzuKubernetesClusters unter Verwendung der v1alpha3-API mit zusätzlichen vertrauenswürdigen CA-Zertifikaten für SSL/TLS.
v1alpha3-Beispiel: TKC mit zusätzlichen vertrauenswürdigen CA-Zertifikaten
- Zusätzliche vertrauenswürdige CA-Zertifikate werden im Abschnitt
network.trust.additionalTrustedCAs
der Clusterspezifikation deklariert. - Das Feld
additionalTrustedCAs
stellt ein Array von Name/Wert-Paaren dar:- Das Feld
name
ist eine benutzerdefinierte Zeichenfolge. - Bei dem Wert
data
handelt es sich um den Inhalt des CA-Zertifikats im PEM-Format, das Base64-codiert ist.
- Das Feld
apiVersion: run.tanzu.vmware.com/v1alpha3 kind: TanzuKubernetesCluster metadata: name: tkc-additional-trusted-cas namespace: tkgs-cluster-ns spec: topology: controlPlane: replicas: 3 vmClass: guaranteed-medium storageClass: tkgs-storage-policy tkr: reference: name: v1.25.7---vmware.3-fips.1-tkg.1 nodePools: - name: worker replicas: 3 vmClass: guaranteed-medium storageClass: tkgs-storage-policy tkr: reference: name: v1.25.7---vmware.3-fips.1-tkg.1 settings: storage: defaultClass: tkgs-storage-policy network: trust: additionalTrustedCAs: - name: CompanyInternalCA-1 data: LS0tLS1C...LS0tCg== - name: CompanyInternalCA-2 data: MTLtMT1C...MT0tPg==
Verfahren: Neuer Cluster
- Befüllen Sie das Feld
additionalTrustedCAs
mit dem Namen und dem Datenwert für ein oder mehrere CA-Zertifikate. - Stellen Sie den Cluster wie gewohnt bereit.
Weitere Informationen hierzu finden Sie unter Workflow zum Bereitstellen von TKG-Clustern auf mithilfe von Kubectl.
- Nach der erfolgreichen Bereitstellung des Clusters werden die von Ihnen hinzugefügten CA-Zertifikate vom Cluster als vertrauenswürdig eingestuft.
Verfahren: Vorhandener Cluster
- Stellen Sie sicher, dass Sie die kubectl-Bearbeitung konfiguriert haben.
Weitere Informationen hierzu finden Sie unter Konfigurieren eines Texteditors für Kubectl.
- Bearbeiten Sie die Clusterspezifikation.
kubectl edit tanzukubernetescluster/tkgs-cluster-name
- Fügen Sie den Abschnitt
network.trust.additionalTrustedCAs
zur Spezifikation hinzu. - Befüllen Sie das Feld
additionalTrustedCAs
mit dem Namen und dem Datenwert für ein oder mehrere CA-Zertifikate. - Speichern Sie die Änderungen im Texteditor und stellen Sie sicher, dass die Änderungen von kubectl registriert wurden.
kubectl edit tanzukubernetescluster/tkgs-cluster-name tanzukubernetescluster.run.tanzu.vmware.com/tkgs-cluster-name edited
- Wenn ein paralleles Update für den Cluster initiiert wird, werden die zusätzlichen vertrauenswürdigen CA-Zertifikate hinzugefügt.
Weitere Informationen hierzu finden Sie unter Grundlegendes zum Modell für parallele Updates für TKG-Dienstcluster.
Überprüfen zusätzlicher vertrauenswürdiger CA-Zertifikate
Die zusätzlichen vertrauenswürdigen CA-Zertifikate, die dem Cluster hinzugefügt wurden, sind in der Kubeconfig-Datei für den Cluster enthalten.
Fehlerbehebung bei zusätzlichen vertrauenswürdigen CA-Zertifikaten
Weitere Informationen hierzu finden Sie unter Fehlerbehebung bei zusätzlichen vertrauenswürdigen Zertifizierungsstellen.
Anwendungsbeispiele
Der häufigste Anwendungsfall besteht im Hinzufügen einer zusätzlichen vertrauenswürdigen Zertifizierungsstelle zum Herstellen einer Verbindung mit einer Containerregistrierung. Weitere Informationen hierzu finden Sie unter Integrieren von TKG-Dienst-Clustern in eine private Containerregistrierung.