Fare riferimento a questo argomento se si verifica un problema durante l'aggiunta di ulteriori certificati CA attendibili in un cluster TKG.
Risoluzione dei problemi relativi alle CA attendibili aggiuntive
Utilizzando l'API v1alpha3 o l'API v1beta1, è possibile includere una variabile trust che contiene i valori per i certificati CA attendibili aggiuntivi. Il caso d'uso comune è l'aggiunta di un certificato del registro di container privato nel cluster. Vedere Integrazione dei cluster Servizio TKG con un registro di container privato.
topology:
variables:
- name: trust
value:
additionalTrustedCAs:
- name: my-ca
apiVersion: v1 data: my-ca: # Double Base64 encoded CA certificate kind: Secret metadata: name: CLUSTER_NAME-user-trusted-ca-secret namespace: tap type: Opaque
Quando si aggiunge una stanza trust.additionalTrustedCAs nella specifica di un cluster TKG, Supervisore aggiorna i nodi del cluster in modalità aggiornamento in sequenza. Tuttavia, se si commettono errori nei valori di trust, le macchine non vengono attivate correttamente e non è possibile aggiungerle nel cluster.
ls cannot access '/var/tmp/_var_ib_containerd': No such file or directory
"default.validating.tanzukubernetescluster.run.tanzu.vmware.com" denied the request: Invalid certificate internalharbor, Error decoding PEM block for internalharbor in the TanzuKubernetesCluster spec's trust configuration
Se non si utilizza la codifica corretta, i nodi della macchina non vengono attivati e viene visualizzato il messaggio di errore precedente. Per risolvere il problema, codificare correttamente il contenuto del certificato e aggiungere tale valore alla mappa dati del segreto.
È possibile eseguire "kubectl replace -f /tmp/kubectl-edit-2005376329.yaml" per riprovare l'aggiornamento.
