Pour établir une connexion sécurisée à Superviseur et aux clusters Service TKG, configurez le Plug-in vSphere pour kubectl avec le certificat TLS approprié et assurez-vous d'exécuter la dernière édition du plug-in.
Certificat d'autorité de certification de Superviseur
Le vSphere IaaS control plane prend en charge vCenter Single Sign-On pour l'accès au cluster à l'aide de la commande kubectl vsphere login …
de Plug-in vSphere pour kubectl.
Le Plug-in vSphere pour kubectl sécurise par défaut la connexion et nécessite un certificat approuvé, le certificat par défaut signé par l'autorité de certification racine de vCenter Server. Bien que le plug-in prenne en charge l'indicateur --insecure-skip-tls-verify
, pour des raisons de sécurité, cela n'est pas recommandé.
Option | Instructions |
---|---|
Téléchargez et installez le certificat d'autorité de certification racine vCenter Server sur chaque machine cliente. |
Pour Linux, reportez-vous à la section ci-dessous : Télécharger les certificats d'autorité de certification racine approuvés pour vCenter et les installer sur un client Ubuntu Pour Windows et Mac, consultez l'article de la base de connaissances VMware Comment télécharger et installer des certificats racines de vCenter Server. |
Remplacez le certificat VIP utilisé pour le Superviseur par un certificat signé par une autorité de certification que chaque machine cliente approuve. |
Reportez-vous à la section Installation et configuration du plan de contrôle IaaS vSphere. |
Certificat d'autorité de certification du cluster TKG
Pour établir une connexion sécurisée avec le serveur d'API du cluster TKG à l'aide de l'interface de ligne de commande kubectl
, vous devez télécharger le certificat d'autorité de certification du cluster TKG.
Si vous utilisez la dernière édition du Plug-in vSphere pour kubectl, lors de votre première connexion au cluster TKG, Ce certificat est également stocké dans le secret Kubernetes nommé TANZU-KUBERNETES-CLUSTER-NAME-ca
. Le plug-in utilise ce certificat pour remplir les informations de l'autorité de certification dans la banque de données de l'autorité de certification du cluster correspondant.
Si vous avez mis à jour Superviseur, assurez-vous d'effectuer la mise à jour vers la dernière version du plug-in.
Télécharger les certificats d'autorité de certification racine approuvés pour vCenter et les installer sur un client Ubuntu
- Installez Plug-in vSphere pour kubectl. Reportez-vous à la section Installez l'Outils de l'interface de ligne de commande Kubernetes pour vSphere ..
- Téléchargez les certificats d'autorité de certification racine approuvés pour vCenter Server où Gestion de charge de travail est activée.
wget https://VC-IP-or_FQDN/certs/download.zip --no-check-certificate
- Extrayez le contenu du fichier
download.zip
dans le répertoire actuel.unzip download.zip -d .
- Modifiez le chemin d'accès au répertoire Linux.
cd /certs/lin
- Répertoriez (
ls
) les certificats d'autorité de certification dans le répertoire/certs/lin
.Vous devez voir deux certificats au format PEM :
*.0
et*.r1
. Un certificat au format PEM est lisible par l'utilisateur au format base64 et commence par----BEGIN CERTIFICATE----
. - Ajoutez l'extension
*.crt
aux fichiers de certificat. Par exemple :cp dbad4059.0 dbad4059.0.crt
cp dbad4059.r1 dbad4059.r1.crt
- Copiez les fichiers dans le répertoire de certificats OpenSSL dans
/etc/ssl/certs
.sudo cp dbad4059.0.crt /etc/ssl/certs
sudo cp dbad4059.r1.crt /etc/ssl/certs
- Connectez-vous en toute sécurité au Superviseur
kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME
- Connectez-vous en toute sécurité au cluster Service TKG.
kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME --tanzu-kubernetes-cluster-name CLUSTER-NAME --tanzu-kubernetes-cluster-namespace VSPHERE-NS