Para iniciar sesión de forma segura en Supervisor y en clústeres de Servicio TKG, configure complemento de vSphere para kubectl con el certificado TLS adecuado y asegúrese de ejecutar la edición más reciente del complemento.

Certificado de CA de Supervisor

vSphere IaaS control plane admite vCenter Single Sign-On para el acceso a los clústeres mediante el comando de complemento de vSphere para kubectl kubectl vsphere login ….

El complemento complemento de vSphere para kubectl establece de forma predeterminada el inicio de sesión seguro y requiere un certificado de confianza, el certificado firmado por la entidad de certificación raíz vCenter Server. A pesar de que el complemento es compatible con la marca de --insecure-skip-tls-verify, por motivos de seguridad, esto no se recomienda.

Para iniciar sesión de forma segura en los clústeres de Supervisor y Servicio TKG mediante el complemento complemento de vSphere para kubectl, tiene dos opciones:
Opción Instrucciones

Descargue e instale el certificado de la entidad de certificación de vCenter Server raíz en cada máquina cliente.

Para Linux, consulte la siguiente sección: Descargar los certificados de CA raíz de confianza para vCenter e instalarlos en un cliente Ubuntu

Para Windows y Mac, consulte el artículo de la base de conocimientos de VMware Cómo descargar e instalar certificados raíz de vCenter Server.

Reemplace el certificado VIP utilizado para Supervisor por un certificado firmado por una entidad de certificación de confianza de cada máquina cliente.

Consulte Instalar y configurar el plano de control de IaaS de vSphere.

Nota: Para obtener más información sobre la autenticación de vSphere, incluidos vCenter Single Sign-On, la administración y rotación de certificados de vCenter Server y la solución de problemas, consulte la documentación de autenticación de vSphere.

Certificado de CA del clúster de TKG

Para conectarse de forma segura con el servidor de API del clúster de TKG mediante la CLI kubectl, debe descargar el certificado de CA del clúster de TKG.

Si utiliza la edición más reciente del complemento de vSphere para kubectl, la primera vez que inicie sesión en el clúster de TKG, el complemento registrará el certificado de la entidad de certificación del clúster de TKG en el archivo kubconfig. Este certificado también se almacena en el secreto de Kubernetes denominado TANZU-KUBERNETES-CLUSTER-NAME-ca. El complemento utiliza el certificado para rellenar la información de CA en el almacén de datos de la entidad de certificación del clúster correspondiente.

Si ha actualizado Supervisor, asegúrese de hacerlo a la versión más reciente del complemento.

Descargar los certificados de CA raíz de confianza para vCenter e instalarlos en un cliente Ubuntu

Siga este procedimiento para descargar los certificados de CA raíz de confianza para vCenter Server e instalarlos en un cliente Ubuntu a fin de poder iniciar sesión de forma segura en los clústeres de Supervisor y de Servicio TKG mediante complemento de vSphere para kubectl.
  1. Instale complemento de vSphere para kubectl. Consulte Instalar el Herramientas de la CLI de Kubernetes para vSphere.
  2. Descargue los certificados de CA raíz de confianza para vCenter Server donde se habilitó Administración de cargas de trabajo.
    wget https://VC-IP-or_FQDN/certs/download.zip --no-check-certificate
  3. Extraiga el contenido del archivo download.zip en el directorio actual.
    unzip download.zip -d .
  4. Cambie la ruta de acceso al directorio de Linux.
    cd /certs/lin
  5. Enumere (ls) los certificados de CA en el directorio /certs/lin.

    Debería ver dos certificados en formato PEM: *.0 y *.r1. Un certificado con formato PEM se puede leer en formato base64 y comienza con ----BEGIN CERTIFICATE----.

  6. Anexe la extensión *.crt a los archivos de certificado. Por ejemplo:
    cp dbad4059.0 dbad4059.0.crt
    cp dbad4059.r1 dbad4059.r1.crt
  7. Copie los archivos en el directorio de certificados OpenSSL en /etc/ssl/certs.
    sudo cp dbad4059.0.crt /etc/ssl/certs
    sudo cp dbad4059.r1.crt /etc/ssl/certs
  8. Inicie sesión de forma segura en Supervisor.
    kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME
  9. Inicie sesión de forma segura en el clúster de Servicio TKG.
    kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME --tanzu-kubernetes-cluster-name CLUSTER-NAME --tanzu-kubernetes-cluster-namespace VSPHERE-NS