Como administrador de vSphere, puede reemplazar el certificado de la dirección IP virtual (virtual IP address, VIP) para conectarse de forma segura al endpoint de API de clúster supervisor con un certificado firmado por una CA en la que los hosts ya confíen. El certificado autentica el plano de control de Kubernetes para los ingenieros de desarrollo y operaciones, tanto en el inicio de sesión como en las interacciones posteriores con el clúster supervisor.

Requisitos previos

Compruebe que puede acceder a una CA que pueda firmar CSR. Para los ingenieros de desarrollo y operaciones, la CA debe estar instalada en su sistema como una raíz de confianza.

Procedimiento

  1. En vSphere Client, desplácese hasta clúster supervisor.
  2. Haga clic en Configurar; a continuación, en Espacios de nombres, seleccione Certificados.
  3. En el panel MTG de la plataforma de carga de trabajo, seleccione Acciones > Generar CSR.
  4. Proporcione los detalles del certificado.
  5. Una vez que se genere la CSR, haga clic en Copiar.
  6. Firme el certificado con una CA.
  7. En el panel MTG de la plataforma de carga de trabajo, seleccione Acciones > Reemplazar certificado.
  8. Cargue el archivo de certificado firmado y haga clic en Reemplazar certificado.
  9. Valide el certificado en la dirección IP del plano de control de Kubernetes.
    Por ejemplo, puede abrir la página de descarga de Herramientas de la CLI de Kubernetes para vSphere y confirmar que el certificado fue reemplazado correctamente desde el navegador. En un sistema Linux o Unix, también puede utilizar echo | openssl s_client -connect https://ip:6443.