Pour établir une connexion sécurisée au Superviseur et aux clusters Tanzu Kubernetes Grid, configurez le Plug-in vSphere pour kubectl avec le certificat TLS approprié et assurez-vous d'exécuter la dernière édition du plug-in.
Certificat d'autorité de certification de Superviseur
vSphere IaaS control plane prend en charge vCenter Single Sign-On pour l'accès au cluster à l'aide de la commande kubectl vsphere login …
de Plug-in vSphere pour kubectl. Pour installer et utiliser cet utilitaire, consultez Télécharger et installer les Outils de l'interface de ligne de commande Kubernetes pour vSphere.
Le Plug-in vSphere pour kubectl sécurise par défaut la connexion et nécessite un certificat approuvé, le certificat par défaut signé par l'autorité de certification racine de vCenter Server. Bien que le plug-in prenne en charge l'indicateur --insecure-skip-tls-verify
, pour des raisons de sécurité, cela n'est pas recommandé.
Option | Instructions |
---|---|
Téléchargez et installez le certificat d'autorité de certification racine vCenter Server sur chaque machine cliente. |
Consultez l'article de la base de connaissances VMware Comment télécharger et installer parmi les certificats racine de vCenter Server. |
Remplacez le certificat VIP utilisé pour le Superviseur par un certificat signé par une autorité de certification que chaque machine cliente approuve. |
Reportez-vous à la section Remplacer le certificat VIP pour se connecter en toute sécurité au point de terminaison d'API Superviseur. |
Certificat d'autorité de certification du cluster Tanzu Kubernetes Grid
Pour établir une connexion sécurisée avec le serveur d'API du cluster Tanzu Kubernetes à l'aide de l'interface de ligne de commande kubectl
, téléchargez le certificat d'autorité de certification du cluster Tanzu Kubernetes.
Si vous utilisez la dernière édition du Plug-in vSphere pour kubectl, lors de votre première connexion au cluster Tanzu Kubernetes Grid, le plug-in enregistre le certificat d'autorité de certification du cluster Tanzu Kubernetes dans le fichier kubconfig. Ce certificat est stocké dans le secret Kubernetes nommé TANZU-KUBERNETES-CLUSTER-NAME-ca
. Le plug-in utilise ce certificat pour remplir les informations de l'autorité de certification dans la banque de données de l'autorité de certification du cluster correspondant.
Si vous mettez à jour vSphere IaaS control plane, assurez-vous d'effectuer la mise à jour vers la dernière version du plug-in. Reportez-vous à la section Mettre à jour le plug-in vSphere pour kubectl dans Maintenance du plan de contrôle IaaS vSphere.