Per accedere in modo sicuro ai cluster vSphere with Tanzu, inclusi i cluster Cluster supervisore e Tanzu Kubernetes, configurare il Plug-in vSphere per kubectl con il certificato TLS appropriato e assicurarsi di eseguire la versione più recente del plug-in.

Certificato CA del Cluster supervisore

vSphere with Tanzu supporta vCenter Single Sign-On per l'accesso al cluster utilizzando il comando kubectl vsphere login … del Plug-in vSphere per kubectl. Per installare e utilizzare questa utilità, vedere Download e installazione di Strumenti CLI Kubernetes di vSphere.

Per impostazione predefinita, il Plug-in vSphere per kubectl è impostato sull'accesso sicuro e richiede un certificato attendibile, con il certificato predefinito è il certificato firmato dalla CA root di vCenter Server. Anche se il plug-in supporta il contrassegno --insecure-skip-tls-verify, per motivi di sicurezza questa opzione non è consigliata.

Per accedere in modo sicuro al Cluster supervisore e ai cluster Tanzu Kubernetes mediante il Plug-in vSphere per kubectl, sono disponibili due opzioni:
Opzione Istruzioni

Scaricare e installare il certificato CA root di vCenter Server su ogni macchina client.

Fare riferimento all'articolo della knowledge base VMware How to download and install vCenter Server root certificates.

Sostituire il certificato VIP utilizzato per il Cluster supervisore con un certificato firmato da un'autorità di certificazione attendibile per ogni macchina client.

Vedere Sostituire il certificato VIP per connettersi in modo sicuro all'endpoint dell'API Cluster supervisore.
Nota: Per ulteriori informazioni sull'autenticazione vSphere, inclusi vCenter Single Sign-On, gestione e rotazione dei certificati vCenter Server e risoluzione dei problemi relativi all'autenticazione, vedere la documentazione relativa all' autenticazione vSphere.

Certificato CA del cluster Tanzu Kubernetes

Per connettersi in modo sicuro con il server API del cluster Tanzu Kubernetes utilizzando la CLI kubectl, è necessario scaricare il certificato CA del cluster Tanzu Kubernetes.

Se si utilizza l'edizione più recente del Plug-in vSphere per kubectl, la prima volta che si accede al cluster Tanzu Kubernetes, il plug-in registra il certificato CA del cluster Tanzu Kubernetes nel file kubeconfig. Questo certificato viene archiviato nel segreto Kubernetes denominato TANZU-KUBERNETES-CLUSTER-NAME-ca. Il plug-in utilizza questo certificato per compilare le informazioni dell'autorità di certificazione nel datastore dell'autorità di certificazione del cluster corrispondente.

Se si sta aggiornando vSphere with Tanzu, assicurarsi di eseguire l'aggiornamento alla versione più recente del plug-in. Vedere Aggiornamento di Plug-in vSphere per kubectl.