Configurer la connexion sécurisée pour les clusters vSphere IaaS control plane

Pour établir une connexion sécurisée au Superviseur et aux clusters Tanzu Kubernetes Grid, configurez le Plug-in vSphere pour kubectl avec le certificat TLS approprié et assurez-vous d'exécuter la dernière édition du plug-in.

Certificat d'autorité de certification de Superviseur

vSphere IaaS control plane prend en charge vCenter Single Sign-On pour l'accès au cluster à l'aide de la commande kubectl vsphere login … de Plug-in vSphere pour kubectl. Pour installer et utiliser cet utilitaire, consultez Télécharger et installer les Outils de l'interface de ligne de commande Kubernetes pour vSphere.

Le Plug-in vSphere pour kubectl sécurise par défaut la connexion et nécessite un certificat approuvé, le certificat par défaut signé par l'autorité de certification racine de vCenter Server. Bien que le plug-in prenne en charge l'indicateur --insecure-skip-tls-verify, pour des raisons de sécurité, cela n'est pas recommandé.

Pour vous connecter en toute sécurité aux clusters Superviseur et Tanzu Kubernetes Grid à l'aide du Plug-in vSphere pour kubectl, vous disposez de deux options :

Option	Instructions
Téléchargez et installez le certificat d'autorité de certification racine vCenter Server sur chaque machine cliente.	Consultez l'article de la base de connaissances VMware Comment télécharger et installer parmi les certificats racine de vCenter Server.
Remplacez le certificat VIP utilisé pour le Superviseur par un certificat signé par une autorité de certification que chaque machine cliente approuve.	Reportez-vous à la section Remplacer le certificat VIP pour se connecter en toute sécurité au point de terminaison d'API Superviseur.

Note : Pour plus d'informations sur l'authentification vSphere, notamment l' vCenter Single Sign-On, la gestion et la rotation des certificats vCenter Server, ainsi que le dépannage de l'authentification, consultez la documentation Authentification vSphere. Pour plus d'informations sur les certificats vSphere IaaS control plane, reportez-vous à l'article 89324 de la base de connaissances VMware.

Certificat d'autorité de certification du cluster Tanzu Kubernetes Grid

Pour établir une connexion sécurisée avec le serveur d'API du cluster Tanzu Kubernetes à l'aide de l'interface de ligne de commande kubectl, téléchargez le certificat d'autorité de certification du cluster Tanzu Kubernetes.

Si vous utilisez la dernière édition du Plug-in vSphere pour kubectl, lors de votre première connexion au cluster Tanzu Kubernetes Grid, le plug-in enregistre le certificat d'autorité de certification du cluster Tanzu Kubernetes dans le fichier kubconfig. Ce certificat est stocké dans le secret Kubernetes nommé TANZU-KUBERNETES-CLUSTER-NAME-ca. Le plug-in utilise ce certificat pour remplir les informations de l'autorité de certification dans la banque de données de l'autorité de certification du cluster correspondant.

Si vous mettez à jour vSphere IaaS control plane, assurez-vous d'effectuer la mise à jour vers la dernière version du plug-in. Reportez-vous à la section Mettre à jour le plug-in vSphere pour kubectl dans Maintenance du plan de contrôle IaaS vSphere.