En tant qu'administrateur vSphere, vous pouvez remplacer le certificat de l'adresse IP virtuelle (VIP) pour vous connecter en toute sécurité au point de terminaison de l'API Superviseur avec un certificat signé par une autorité de certification déjà approuvée par vos hôtes. Le certificat authentifie le plan de contrôle Kubernetes aux ingénieurs DevOps, lors de la connexion et des interactions suivantes avec le Superviseur.

Conditions préalables

Vérifiez que vous avez accès à une autorité de certification qui peut signer des CSR. Pour les ingénieurs DevOps, l'autorité de certification doit être installée sur leur système en tant qu'utilisateur racine approuvé.

Pour plus d'informations sur le certificat de Superviseur, reportez-vous à la section Certificat d'autorité de certification de Superviseur.

Procédure

  1. Dans vSphere Client, accédez à Gestion de la charge de travail.
  2. Sélectionnez Superviseurs et sélectionnez le Superviseur dans la liste.
  3. Cliquez sur Configurer et sélectionnez Certificats.
  4. Dans le volet Plate-forme de gestion de la charge de travail, sélectionnez Actions > Générer une CSR.
    Figure 1. Remplacement du certificat par défaut du superviseur

    L'onglet Configurer les certificats affiche les certificats par défaut.
  5. Fournissez les détails du certificat.
    Note : Si vous utilisez un service de fournisseur d'identité, vous devez également inclure l'intégralité de la chaîne de certificats. Toutefois, la chaîne n'est pas requise pour le trafic HTTPS standard.
  6. Une fois la CSR générée, cliquez sur Copier.
  7. Signez le certificat avec une autorité de certification.
  8. Dans le volet Gestion de la plate-forme de charge de travail, sélectionnez Actions > Remplacer le certificat.
  9. Chargez le fichier de certificat signé et cliquez sur Remplacer le certificat.
  10. Validez le certificat sur l'adresse IP du plan de contrôle Kubernetes.
    Par exemple, vous pouvez ouvrir la page de téléchargement de Outils de l'interface de ligne de commande Kubernetes pour vSphere et confirmer que le certificat a été remplacé à l'aide du navigateur. Sur un système Linux ou UNIX, vous pouvez également utiliser echo | openssl s_client -connect https://ip:6443.