Configurar y administrar certificados TLS para Pinniped
En este tema se explica cómo configurar certificados TLS personalizados para Pinniped en Tanzu Kubernetes Grid.
Configurar certificados TLS personalizados
De forma predeterminada, Tanzu Kubernetes Grid utiliza un Issuer autofirmado para generar los certificados TLS que protegen el tráfico HTTPS a Pinniped. Opcionalmente, puede actualizar la configuración predeterminada después de implementar el clúster de administración de la siguiente manera:
- Establezca un recurso
ClusterIssuerpersonalizado o su propio secreto TLS. Consulte Establecer un recursoClusterIssuero un secreto TLS a continuación. - Actualice la configuración de Pinniped volviendo a implementar el secreto del complemento pinniped para el clúster de administración. Consulte Actualizar la configuración de Pinniped a continuación.
Establecer un recurso ClusterIssuer o un secreto TLS
Si desea utilizar un recurso ClusterIssuer para generar los certificados TLS:
- Compruebe que
cert-managerse esté ejecutando en el clúster de administración. Este componente se ejecuta de forma predeterminada en todos los clústeres de administración. - Obtenga el nombre de un recurso
ClusterIssuerexistente en el clúster de administración. Para obtener más información, consulte Configuración del emisor en la documentación de cert-manager. - Especifique el nombre
ClusterIssueren el campocustom_cluster_issuerde la secciónvalues.yamldel secreto del complemento Pinniped para el clúster de administración y, a continuación, aplique los cambios. Para obtener instrucciones, consulte Actualizar la configuración de Pinniped a continuación. Después de completar los pasos de esta sección, la cadena de certificados de Pinniped será firmada por suClusterIssuer.
Si desea especificar su propio secreto TLS directamente:
-
Recupere la dirección IP o el nombre de host de DNS del servicio Pinniped,
pinniped-supervisor:- Si el tipo de servicio se establece en
LoadBalancer(vSphere con un equilibrador de carga, por ejemplo, NSX Advanced Load Balancer, Amazon Web Services [AWS] o Azure), recupere la dirección externa del servicio ejecutando:
kubectl get service pinniped-supervisor -n pinniped-supervisor- Si el tipo de servicio se establece en
NodePort(vSphere sin un equilibrador de carga), la dirección IP del servicio es la misma que el endpoint del plano de control de vSphere. Para recuperar la dirección IP, puede ejecutar el siguiente comando:
kubectl get configmap cluster-info -n kube-public -o yaml - Si el tipo de servicio se establece en
-
Cree un secreto de
kubernetes.io/tlsen el espacio de nombrespinniped-supervisor. Para crear un secreto TLS, ejecute:kubectl create secret generic SECRET-NAME -n pinniped-supervisor --type kubernetes.io/tls --from-file tls.crt=FILENAME-1.crt --from-file tls.key=FILENAME-2.pem --from-file ca.crt=FILENAME-3.pemReemplace el texto de marcador de posición de la siguiente manera:
SECRET-NAMEes el nombre que eligió para el secreto. Por ejemplo,my-secret.FILENAME-*es el nombre de sustls.crt,tls.keyoca.crt. El certificado TLS que especifique en el secreto de TLS para Pinniped debe incluir la IP o el nombre de host DNS del servicio Pinniped del paso anterior. El campoca.crtes obligatorio y contiene el paquete de CA que se utiliza para comprobar el certificado TLS.
Por ejemplo, el secreto resultante para Pinniped tiene un aspecto similar al siguiente:
apiVersion: v1 kind: Secret metadata: name: my-secret namespace: pinniped-supervisor type: kubernetes.io/tls data: tls.crt: | MIIC2DCCAcCgAwIBAgIBATANBgkqh ... tls.key: | MIIEpgIBAAKCAQEA7yn3bRHQ5FHMQ ... ca.crt: | MIIEpgIBAAKCAQEA7yn3bRHQ5FHMQ ...Si el secreto se generó correctamente, la descodificación
tls.crtconopenssl x509 -in tls.crt -textmuestra la dirección IP o el nombre de host de DNS en el campo Nombre alternativo del sujeto. -
Especifique el nombre del secreto en el campo
custom_tls_secretde la secciónvalues.yamldel secreto de complemento Pinniped para el clúster de administración y, a continuación, aplique los cambios. Para obtener instrucciones, consulte Actualizar la configuración de Pinniped a continuación. -
Si desea configurar un nombre de host de DNS para el servicio Pinniped, especifique el FQDN asociado con un supervisor Pinniped en el campo
pinniped.supervisor_svc_external_dnsde la secciónvalues.yamldel secreto del complemento Pinniped del clúster de administración. Tenga en cuenta que el valor depinniped.supervisor_svc_external_dnsdebe comenzar conhttps://. Consulte la configuración de values.yaml del paquete administrado automáticamente en detalle. A continuación, aplique los cambios. Para obtener instrucciones, consulte Actualizar la configuración de Pinniped a continuación. Tenga en cuenta que debe configurar el DNS por separado para este nombre de host; por ejemplo, debe crear un registroAen el proveedor de DNS para resolver la dirección IP del servicio de supervisor Pinniped. Este nombre de host debe aparecer como nombre alternativo del asunto en el certificado TLS que configure para el supervisor Pinniped.
Actualizar la configuración de Pinniped
Para aplicar los cambios, actualice la configuración de Pinniped siguiendo los pasos que se indican a continuación:
-
Guarde el secreto del complemento Pinniped para el clúster de administración en un archivo y descodifique la cadena con codificación Base64 en la sección
values.yamldel secreto.kubectl get secret CLUSTER-NAME-pinniped-package -n tkg-system -o jsonpath="{.data.values\.yaml}" | base64 -d > FILENAME.yamlReemplace el texto de marcador de posición de la siguiente manera:
CLUSTER-NAMEes el nombre de su clúster de administración.FILENAMEes el nombre de archivo que desea utilizar para el secreto. Por ejemplo,values.yaml.
-
En el texto decodificado, realice una de las siguientes acciones:
-
Si preparó un recurso
ClusterIssueranterior, especifique el nombre del recurso en el campocustom_cluster_issuer. Por ejemplo:--- infrastructure_provider: vsphere tkg_cluster_role: management custom_cluster_issuer: "my-cluster-issuer-name" pinniped: cert_duration: 2160h cert_renew_before: 360h supervisor_svc_endpoint: https://10.168.217.220:31234 supervisor_ca_bundle_data: LS0tLS1CRUdJTiBDRVJUSUZJQ0F…… ... -
Si preparó su propio secreto TLS anteriormente, especifique el nombre del secreto en el campo
custom_tls_secret. Por ejemplo:--- infrastructure_provider: vsphere tkg_cluster_role: management custom_tls_secret: "my-tls-secret-name" pinniped: cert_duration: 2160h cert_renew_before: 360h supervisor_svc_endpoint: https://10.168.217.220:31234 supervisor_ca_bundle_data: LS0tLS1CRUdJTiBDRVJUSUZJQ0F…… ...Si configura el campo
custom_tls_secret, se ignorará elcustom_cluster_issuer.Si desea configurar un nombre de host de DNS para el servicio Pinniped, especifique el FQDN que se debe utilizar para el supervisor Pinniped en el campo
pinniped.supervisor_svc_external_dns. Por ejemplo:... pinniped: cert_duration: 2160h cert_renew_before: 360h supervisor_svc_endpoint: https://0.0.0.0:31234 supervisor_ca_bundle_data: ca_bundle_data_of_supervisor_svc supervisor_svc_external_ip: 0.0.0.0 supervisor_svc_external_dns: https://pinniped.example.com ...
-
-
Vuelva a codificar la sección
values.yamly actualice el secreto del complemento Pinniped. Este comando varía según el sistema operativo del entorno. Por ejemplo:Linux:
kubectl patch secret CLUSTER-NAME-pinniped-package -n tkg-system -p "{\"data\":{\"values.yaml\":\"$(base64 -w 0 < values.yaml)\"}}" --type=mergemacOS:
kubectl patch secret CLUSTER-NAME-pinniped-package -n tkg-system -p "{\"data\":{\"values.yaml\":\"$(base64 < values.yaml)\"}}" --type=merge -
Confirme que los cambios se han aplicado correctamente:
-
Obtenga el estado de la aplicación
pinniped:kubectl get app CLUSTER-NAME-pinniped -n tkg-systemSi el estado devuelto es Reconciliación fallida, ejecute el siguiente comando para obtener detalles sobre el fallo:
kubectl get app CLUSTER-NAME-pinniped -n tkg-system -o yaml -
Para generar un archivo kubeconfig para el clúster de administración, ejecute el comando
tanzu mc kubeconfig get --export-file ./KUBECONFIG-MC-CLUSTER-NAME. A continuación, ejecute un comando comokubectl get pods --kubeconfig ./KUBECONFIG-MC-CLUSTER-NAMEmediante kubeconfig. Además, si el clúster de administración administra algún clúster de carga de trabajo, ejecutetanzu cluster kubeconfig get <WORKLOAD-CLUSTER-NAME> --export-file ./KUBECONFIG-WORKLOAD-CLUSTER-NAMEy, a continuación,kubectl get pods --kubeconfig ./KUBECONFIG-WORKLOAD-CLUSTER-NAMEen cada uno de los clústeres existentes.
-
