L'amministratore di vSphere può sostituire il certificato per l'indirizzo IP virtuale (VIP) per connettersi in modo sicuro all'endpoint dell'API di Supervisore con un certificato firmato da un'autorità di certificazione considerato attendibile dagli host. Il certificato esegue l'autenticazione del piano di controllo Kubernetes negli ingegneri DevOps, sia durante l'accesso sia nelle interazioni successive con il Supervisore.
Prerequisiti
Verificare di disporre dell'accesso a un'autorità di certificazione in grado di firmare i CSR. Per gli ingegneri DevOps, l'autorità di certificazione deve essere installata nel proprio sistema come utente root attendibile.
In vSphere Client, passare a Gestione carico di lavoro.
Selezionare Supervisore, quindi selezionare Supervisore dall'elenco.
Fare clic su Configura e selezionare Certificati.
Nel riquadro Piattaforma di gestione del carico di lavoro selezionare Azioni > Genera CSR.
Figura 1. Sostituzione del certificato predefinito del supervisore
Specificare i dettagli del certificato.
Nota: Se si utilizza un servizio del provider di identità, è necessario includere anche l'intera catena di certificati. La catena non è tuttavia necessaria per il traffico HTTPS standard.
Dopo aver generato il CSR, fare clic su Copia.
Firmare il certificato con un'autorità di certificazione.
Nel riquadro Piattaforma di gestione del carico di lavoro selezionare Azioni > Sostituisci il certificato.
Caricare il file del certificato firmato e fare clic su Sostituisci il certificato.
Convalidare il certificato nell'indirizzo IP del piano di controllo Kubernetes.
Ad esempio, è possibile aprire la pagina di download di
Strumenti CLI Kubernetes di vSphere e verificare che il certificato sia stato sostituito correttamente utilizzando il browser. In un sistema Linux o Unix è inoltre possibile utilizzare
echo | openssl s_client -connect https://ip:6443.
