Damit Sie sich sicher bei Supervisor und TKG-Dienst-Clustern anmelden können, konfigurieren Sie das vSphere-Plug-In für kubectl mit dem entsprechenden TLS-Zertifikat und achten Sie darauf, dass Sie die neueste Edition des Plug-Ins ausführen.
Supervisor-CA-Zertifikat
Die vSphere IaaS control plane unterstützt vCenter Single Sign-On für den Clusterzugriff mithilfe des vSphere-Plug-In für kubectl-Befehls kubectl vsphere login ….
Das vSphere-Plug-In für kubectl verwendet standardmäßig eine sichere Anmeldung und erfordert ein vertrauenswürdiges Zertifikat, wobei standardmäßig das von der vCenter Server-Stammzertifizierungsstelle signierte Zertifikat verwendet wird. Das Plug-In unterstützt das Flag --insecure-skip-tls-verify zwar, aber dies wird aus Sicherheitsgründen nicht empfohlen.
| Option | Anleitung |
|---|---|
| Laden Sie das Zertifikat der vCenter Server-Stammzertifizierungsstelle herunter und installieren Sie es auf jedem Clientcomputer. |
Für Linux finden Sie weitere Informationen im folgenden Abschnitt: Herunterladen der vertrauenswürdigen CA-Root-Zertifikate für vCenter und Installieren dieser Zertifikate auf einem Ubuntu-Client Für Windows und Mac finden Sie weitere Informationen im VMware-Knowledgebase-Artikel Vorgehensweise zum Herunterladen und Installieren von vCenter Server-Root-Zertifikaten. |
| Ersetzen Sie das für Supervisor verwendete VIP-Zertifikat durch ein Zertifikat, das von einer Zertifizierungsstelle signiert wurde, der jede Clientmaschine vertraut. |
Weitere Informationen finden Sie unter Installieren und Konfigurieren der vSphere IaaS-Steuerungsebene. |
CA-Zertifikat für TKG-Cluster
Um mithilfe der kubectl-CLI eine sichere Verbindung mit dem API-Server des TKG-Clusters herzustellen, müssen Sie das CA-Zertifikat für den TKG-Cluster herunterladen.
Wenn Sie die neueste Edition des vSphere-Plug-In für kubectl verwenden, registriert das Plug-In bei Ihrer ersten Anmeldung beim TKG-Cluster das CA-Zertifikat für den TKG-Cluster in der kubeconfig-Datei. Dieses Zertifikat wird ebenfalls im geheimen Kubernetes-Schlüssel mit dem Namen TANZU-KUBERNETES-CLUSTER-NAME-ca gespeichert. Das Plug-In verwendet das Zertifikat, um die CA-Informationen im Datenspeicher der Zertifizierungsstelle des entsprechenden Clusters aufzufüllen.
Wenn Sie Supervisor aktualisiert haben, stellen Sie sicher, dass das Update auf die neueste Version des Plug-Ins erfolgt.
Herunterladen der vertrauenswürdigen CA-Root-Zertifikate für vCenter und Installieren dieser Zertifikate auf einem Ubuntu-Client
- Installieren Sie den vSphere-Plug-In für kubectl. Weitere Informationen finden Sie unter Installieren des Kubernetes-CLI-Tools für vSphere.
- Laden Sie die vertrauenswürdigen CA-Root-Zertifikate für den vCenter Server herunter, auf dem Arbeitslastverwaltung aktiviert ist.
wget https://VC-IP-or_FQDN/certs/download.zip --no-check-certificate
- Extrahieren Sie den Inhalt der Datei
download.zipin das aktuelle Verzeichnis.unzip download.zip -d .
- Ändern Sie den Pfad zum Linux-Verzeichnis.
cd /certs/lin
- Listen Sie (
ls) die CA-Zertifikate im Verzeichnis/certs/linauf.Zwei Zertifikate im PEM-Format sollten angezeigt werden:
*.0und*.r1. Ein PEM-formatiertes Zertifikat ist im Base64-Format lesbar und beginnt mit----BEGIN CERTIFICATE----. - Hängen Sie die Erweiterung
*.crtan die Zertifikatsdateien an. Beispiel:cp dbad4059.0 dbad4059.0.crt
cp dbad4059.r1 dbad4059.r1.crt
- Kopieren Sie die Dateien in das OpenSSL-Zertifikatsverzeichnis in
/etc/ssl/certs.sudo cp dbad4059.0.crt /etc/ssl/certs
sudo cp dbad4059.r1.crt /etc/ssl/certs
- Melden Sie sich sicher bei Supervisor an.
kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME
- Melden Sie sich sicher beim TKG-Dienst-Cluster an.
kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME --tanzu-kubernetes-cluster-name CLUSTER-NAME --tanzu-kubernetes-cluster-namespace VSPHERE-NS
