Esempio v1alpha3: TKC con certificati CA attendibili aggiuntivi per SSL/TLS

Fare riferimento al file YAML di esempio per eseguire il provisioning di un TanzuKubernetesCluster utilizzando l'API v1alpha3 con certificati CA attendibili aggiuntivi per SSL/TLS.

Esempio v1alpha3: TKC con certificati CA attendibili aggiuntivi

Il cluster è personalizzatato nel modo seguente. Per informazioni dettagliate, fare riferimento alle specifiche dell'API v1alpha3.

Ulteriori certificati CA attendibili sono dichiarati nella sezione network.trust.additionalTrustedCAs della specifica del cluster
Il campo additionalTrustedCAs è un array di coppie nome-valore:
- Il campo name è una stringa definita dall'utente
- Il valore data è il contenuto del certificato CA in formato PEM con codifica base64

apiVersion: run.tanzu.vmware.com/v1alpha3
kind: TanzuKubernetesCluster
metadata:
  name: tkc-additional-trusted-cas
  namespace: tkgs-cluster-ns
spec:
  topology:
    controlPlane:
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
    nodePools:
    - name: worker
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
  settings:
    storage:
      defaultClass: tkgs-storage-policy
    network:
      trust:
        additionalTrustedCAs:
          - name: CompanyInternalCA-1
            data: LS0tLS1C...LS0tCg==
          - name: CompanyInternalCA-2
            data: MTLtMT1C...MT0tPg==

Procedura: nuovo cluster

Completare la procedura seguente per includere uno o più certificati CA attendibili aggiuntivi in un nuovo cluster TKGS.

Compilare il campo additionalTrustedCAs con il nome e il valore dei dati per uno o più certificati CA.
Eseguire il provisioning del cluster come si fa in genere.
Vedere Workflow per il provisioning dei cluster TKG utilizzando Kubectl.
Quando il provisioning del cluster viene completato, i certificati CA aggiunti vengono considerati attendibili dal cluster.

Procedura: cluster esistente

Completare la procedura seguente per aggiungere uno o più certificati CA attendibili aggiuntivi a un cluster esistente.

Verificare di aver configurato la modifica di kubectl.
Vedere Configurazione di un editor di testo per Kubectl.

Modificare la specifica del cluster.

kubectl edit tanzukubernetescluster/tkgs-cluster-name

Aggiungere la sezione network.trust.additionalTrustedCAs alla specifica.
Compilare il campo additionalTrustedCAs con il nome e il valore dei dati per uno o più certificati CA.

Salvare le modifiche nell'editor di testo e verificare che kubectl abbia registrato le modifiche.

kubectl edit tanzukubernetescluster/tkgs-cluster-name
tanzukubernetescluster.run.tanzu.vmware.com/tkgs-cluster-name edited

Quando viene avviato un aggiornamento in sequenza per il cluster, vengono aggiunti i certificati CA attendibili aggiuntivi.
Vedere Informazioni sul modello di aggiornamento in sequenza per i cluster Servizio TKG.

Verifica dei certificati CA attendibili aggiuntivi

I certificati CA attendibili aggiuntivi aggiunti al cluster vengono inclusi nel file kubeconfig per il cluster.

Risoluzione dei problemi relativi ai certificati CA attendibili aggiuntivi

Vedere Risoluzione dei problemi relativi alle CA attendibili aggiuntive.

Caso d'uso

Il caso d'uso più comune è l'aggiunta di una CA attendibile aggiuntiva per la connessione a un registro di container. Vedere Integrazione dei cluster Servizio TKG con un registro di container privato.