Reportez-vous à l'exemple de fichier YAML pour provisionner un TanzuKubernetesCluster à l'aide de l'API v1alpha3 avec des certificats d'autorité de certification approuvés supplémentaires pour SSL/TLS.

Exemple v1alpha3 : TKC avec des certificats d'autorité de certification approuvés supplémentaires

Le cluster est personnalisé comme suit. Pour plus d'informations, reportez-vous à la Spécification de l'API v1alpha3.
  • Des certificats d'autorité de certification approuvés supplémentaires sont déclarés dans la section network.trust.additionalTrustedCAs de la spécification du cluster.
  • Le champ additionalTrustedCAs est un tableau de paires nom-valeur :
    • Le champ name est une chaîne définie par l'utilisateur.
    • La valeur data correspond au contenu du certificat d'autorité de certification au format PEM codé en base64.
apiVersion: run.tanzu.vmware.com/v1alpha3
kind: TanzuKubernetesCluster
metadata:
  name: tkc-additional-trusted-cas
  namespace: tkgs-cluster-ns
spec:
  topology:
    controlPlane:
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
    nodePools:
    - name: worker
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
  settings:
    storage:
      defaultClass: tkgs-storage-policy
    network:
      trust:
        additionalTrustedCAs:
          - name: CompanyInternalCA-1
            data: LS0tLS1C...LS0tCg==
          - name: CompanyInternalCA-2
            data: MTLtMT1C...MT0tPg==

Procédure : Nouveau cluster

Effectuez la procédure suivante pour inclure un ou plusieurs certificats d'autorité de certification approuvés supplémentaires dans un nouveau cluster TKGS.
  1. Remplissez le champ additionalTrustedCAs avec le nom et la valeur de données d'un ou de plusieurs certificats d'autorité de certification.
  2. Provisionnez le cluster comme vous le feriez normalement.

    Reportez-vous à la section Workflow de provisionnement de clusters TKG à l'aide de Kubectl.

  3. Lorsque le cluster est provisionné, les certificats d'autorité de certification que vous avez ajoutés sont approuvés par le cluster.

Procédure : Cluster existant

Effectuez la procédure suivante pour ajouter un ou plusieurs certificats d'autorité de certification approuvés supplémentaires à un cluster existant.
  1. Vérifiez que vous avez configuré la modification kubectl.

    Reportez-vous à la section Configurer un éditeur de texte pour Kubectl.

  2. Modifiez la spécification du cluster.
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
  3. Ajoutez la section network.trust.additionalTrustedCAs à la spécification.
  4. Remplissez le champ additionalTrustedCAs avec le nom et la valeur de données d'un ou de plusieurs certificats d'autorité de certification.
  5. Enregistrez les modifications dans l'éditeur de texte et vérifiez que kubectl a enregistré les modifications.
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
tanzukubernetescluster.run.tanzu.vmware.com/tkgs-cluster-name edited
  6. Lorsqu'une mise à jour continue est lancée pour le cluster, les certificats d'autorité de certification approuvés supplémentaires sont ajoutés.

    Reportez-vous à la section Présentation du modèle de mise à jour continue pour les clusters Service TKG.

Vérifier les certificats d'autorité de certification approuvés supplémentaires

Les certificats d'autorité de certification approuvés supplémentaires ajoutés au cluster sont inclus dans le fichier kubeconfig du cluster.

Dépanner les certificats d'autorité de certification approuvés supplémentaires

Reportez-vous à la section Résoudre d'autres erreurs d'autorité de certification approuvée.

Cas d'utilisation

Le cas d'utilisation le plus courant consiste à ajouter une autorité de certification approuvée supplémentaire pour la connexion à un registre de conteneur. Reportez-vous à la section Intégrer des clusters de Service TKG avec un registre de conteneur privé.