Como administrador de vSphere, puede reemplazar el certificado de la dirección IP virtual (virtual IP address, VIP) para conectarse de forma segura al endpoint de API de Supervisor con un certificado firmado por una CA en la que los hosts ya confíen. El certificado autentica el plano de control de Kubernetes para los ingenieros de desarrollo y operaciones, tanto en el inicio de sesión como en las interacciones posteriores con el Supervisor.
Requisitos previos
Compruebe que puede acceder a una CA que pueda firmar CSR. Para los ingenieros de desarrollo y operaciones, la CA debe estar instalada en su sistema como una raíz de confianza.
En vSphere Client, desplácese hasta Administración de cargas de trabajo.
Seleccione Supervisores y, a continuación, seleccione el Supervisor de la lista.
Haga clic en Configurar y seleccione Certificados.
En el panel Plataforma de administración de cargas de trabajo, seleccione Acciones > Generar CSR.
Figura 1. Reemplazando el certificado predeterminado de supervisor
Proporcione los detalles del certificado.
Nota: Si utiliza un servicio de proveedor de identidad, también debe incluir la cadena de certificados completa. Sin embargo, la cadena no es necesaria para el tráfico HTTPS estándar.
Una vez que se genere la CSR, haga clic en Copiar.
Firme el certificado con una CA.
En el panel Plataforma de administración de cargas de trabajo, seleccione Acciones > Reemplazar certificado.
Cargue el archivo de certificado firmado y haga clic en Reemplazar certificado.
Valide el certificado en la dirección IP del plano de control de Kubernetes.
Por ejemplo, puede abrir la página de descarga de
Herramientas de la CLI de Kubernetes para vSphere y confirmar que el certificado fue reemplazado correctamente desde el navegador. En un sistema Linux o Unix, también puede utilizar
echo | openssl s_client -connect https://ip:6443.
