Per accedere in modo sicuro ai cluster Supervisore e Tanzu Kubernetes Grid, configurare Plug-in vSphere per kubectl con il certificato TLS appropriato e assicurarsi di eseguire la versione più recente del plug-in.
Certificato CA del Supervisore
vSphere IaaS control plane supporta vCenter Single Sign-On per l'accesso al cluster utilizzando il comando kubectl vsphere login …
di Plug-in vSphere per kubectl. Per installare e utilizzare questa utilità, vedere Download e installazione di Strumenti CLI Kubernetes di vSphere.
Per impostazione predefinita, il Plug-in vSphere per kubectl è impostato sull'accesso sicuro e richiede un certificato attendibile, con il certificato predefinito è il certificato firmato dalla CA root di vCenter Server. Anche se il plug-in supporta il contrassegno --insecure-skip-tls-verify
, per motivi di sicurezza questa opzione non è consigliata.
Opzione | Istruzioni |
---|---|
Scaricare e installare il certificato CA root di vCenter Server su ogni macchina client. |
Fare riferimento all'articolo della knowledge base VMware How to download and install vCenter Server root certificates. |
Sostituire il certificato VIP utilizzato per il Supervisore con un certificato firmato da un'autorità di certificazione attendibile per ogni macchina client. |
Vedere Sostituire il certificato VIP per connettersi in modo sicuro all'endpoint dell'API Supervisore. |
Certificato CA del cluster Tanzu Kubernetes Grid
Per connettersi in modo sicuro con il server dell'API del cluster Tanzu Kubernetes utilizzando la CLI kubectl
, scaricare il certificato CA del cluster Tanzu Kubernetes.
Se si utilizza la versione più recente di Plug-in vSphere per kubectl, la prima volta che si accede al cluster Tanzu Kubernetes Grid, il plug-in registra il certificato CA del cluster Tanzu Kubernetes nel file kubeconfig. Questo certificato viene archiviato nel segreto Kubernetes denominato TANZU-KUBERNETES-CLUSTER-NAME-ca
. Il plug-in utilizza questo certificato per compilare le informazioni dell'autorità di certificazione nel datastore dell'autorità di certificazione del cluster corrispondente.
Se si aggiorna vSphere IaaS control plane, assicurarsi di eseguire l'aggiornamento alla versione più recente del plug-in. Vedere Aggiornamento del plug-in vSphere per kubectl in Manutenzione di vSphere IaaS Control Plane.