Consulte el ejemplo de YAML para aprovisionar un clúster de Tanzu Kubernetes mediante la API v1alpha3 con certificados de CA de confianza adicionales para SSL/TLS.

Ejemplo de v1alpha3: TKC con certificados de CA de confianza adicionales

El clúster se personaliza de la siguiente manera. Consulte la especificación de la API v1alpha3 para obtener más información.
  • Los certificados de CA de confianza adicionales se declaran en la sección network.trust.additionalTrustedCAs de la especificación del clúster
  • El campo additionalTrustedCAs es una matriz de pares nombre-valor:
    • El campo name es una cadena definida por el usuario
    • El valor data es el contenido del certificado de CA en formato PEM con codificación base64
apiVersion: run.tanzu.vmware.com/v1alpha3
kind: TanzuKubernetesCluster
metadata:
  name: tkc-additional-trusted-cas
  namespace: tkgs-cluster-ns
spec:
  topology:
    controlPlane:
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
    nodePools:
    - name: worker
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
  settings:
    storage:
      defaultClass: tkgs-storage-policy
    network:
      trust:
        additionalTrustedCAs:
          - name: CompanyInternalCA-1
            data: LS0tLS1C...LS0tCg==
          - name: CompanyInternalCA-2
            data: MTLtMT1C...MT0tPg==

Procedimiento: Nuevo clúster

Complete el siguiente procedimiento para incluir uno o varios certificados de CA de confianza adicionales en un nuevo clúster de TKGS.
  1. Rellene el campo additionalTrustedCAs con el nombre y el valor de datos de uno o varios certificados de CA.
  2. Aprovisione el clúster como lo haría normalmente.

    Consulte Flujo de trabajo para aprovisionar clústeres de TKG mediante Kubectl.

  3. Cuando el clúster se aprovisiona correctamente, los certificados de CA que agregó son de confianza para el clúster.

Procedimiento: Clúster existente

Complete el siguiente procedimiento para agregar uno o varios certificados de CA de confianza adicionales a un clúster existente.
  1. Compruebe que configuró kubectl editing.

    Consulte Configurar un editor de texto para Kubectl.

  2. Edite la especificación del clúster.
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
  3. Agregue la sección network.trust.additionalTrustedCAs a la especificación.
  4. Rellene el campo additionalTrustedCAs con el nombre y el valor de datos de uno o varios certificados de CA.
  5. Guarde los cambios en el editor de texto y compruebe que kubectl los haya registrado.
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
tanzukubernetescluster.run.tanzu.vmware.com/tkgs-cluster-name edited
  6. Cuando se inicia una actualización gradual para el clúster, se agregan los certificados de CA de confianza adicionales.

    Consulte Información sobre el modelo de actualización gradual para clústeres de Servicio TKG.

Comprobar los certificados de CA de confianza adicionales

Los certificados de CA de confianza adicionales agregados al clúster se incluyen en el archivo kubeconfig del clúster.

Solucionar los problemas de certificados de CA de confianza adicionales

Consulte Solucionar errores con certificados de CA de confianza adicionales.

Caso práctico

El caso práctico más común es para agregar una CA de confianza adicional para conectarse a un registro de contenedor. Consulte Integrar clústeres de Servicio TKG con un registro de contenedor privado.