Configurer la connexion sécurisée pour les clusters vSphere with Tanzu

Pour vous connecter en toute sécurité aux clusters vSphere with Tanzu, y compris les clusters Cluster superviseur et Tanzu Kubernetes, configurez le Plug-in vSphere pour kubectl avec le certificat TLS approprié et assurez-vous d'exécuter la dernière édition du plug-in.

Certificat d'autorité de certification de Cluster superviseur

vSphere with Tanzu prend en charge vCenter Single Sign-On pour l'accès au cluster à l'aide de la commande kubectl vsphere login … de Plug-in vSphere pour kubectl. Pour installer et utiliser cet utilitaire, consultez Télécharger et installer les Outils de l'interface de ligne de commande Kubernetes pour vSphere.

Le Plug-in vSphere pour kubectl sécurise par défaut la connexion et nécessite un certificat approuvé, le certificat par défaut signé par l'autorité de certification racine de vCenter Server. Bien que le plug-in prenne en charge l'indicateur --insecure-skip-tls-verify, pour des raisons de sécurité, cela n'est pas recommandé.

Pour vous connecter en toute sécurité aux clusters Cluster superviseur et Tanzu Kubernetes à l'aide du Plug-in vSphere pour kubectl, vous disposez de deux options :

Option	Instructions
Téléchargez et installez le certificat d'autorité de certification racine vCenter Server sur chaque machine cliente.	Consultez l'article de la base de connaissances VMware Comment télécharger et installer parmi les certificats racine de vCenter Server.
Remplacez le certificat VIP utilisé pour le Cluster superviseur par un certificat signé par une autorité de certification que chaque machine cliente approuve.	Reportez-vous à la section Remplacer le certificat VIP pour se connecter en toute sécurité au point de terminaison d'API Cluster superviseur.

Note : Pour plus d'informations sur l'authentification vSphere, notamment l' vCenter Single Sign-On, la gestion et la rotation des certificats vCenter Server, ainsi que le dépannage de l'authentification, consultez la documentation Authentification vSphere.

Certificat d'autorité de certification du cluster Tanzu Kubernetes

Pour établir une connexion sécurisée avec le serveur d'API du cluster Tanzu Kubernetes à l'aide de l'interface de ligne de commande kubectl, vous devez télécharger le certificat d'autorité de certification du cluster Tanzu Kubernetes.

Si vous utilisez la dernière édition du Plug-in vSphere pour kubectl, lors de votre première connexion au cluster Tanzu Kubernetes, le plug-in enregistre le certificat d'autorité de certification du cluster Tanzu Kubernetes dans le fichier kubconfig. Ce certificat est stocké dans le secret Kubernetes nommé TANZU-KUBERNETES-CLUSTER-NAME-ca. Le plug-in utilise ce certificat pour remplir les informations de l'autorité de certification dans la banque de données de l'autorité de certification du cluster correspondant.

Si vous mettez à jour vSphere with Tanzu, assurez-vous d'effectuer la mise à jour vers la dernière version du plug-in. Reportez-vous à la section Mettre à jour le Plug-in vSphere pour kubectl.