Per accedere in modo sicuro al Supervisore e ai cluster Servizio TKG, configurare Plug-in vSphere per kubectl con il certificato TLS appropriato e assicurarsi di eseguire la versione più recente del plug-in.
Certificato CA del Supervisore
vSphere IaaS control plane supporta vCenter Single Sign-On per l'accesso al cluster utilizzando il comando kubectl vsphere login … del Plug-in vSphere per kubectl.
Per impostazione predefinita, il Plug-in vSphere per kubectl è impostato sull'accesso sicuro e richiede un certificato attendibile, con il certificato predefinito è il certificato firmato dalla CA root di vCenter Server. Anche se il plug-in supporta il contrassegno --insecure-skip-tls-verify, per motivi di sicurezza questa opzione non è consigliata.
| Opzione | Istruzioni |
|---|---|
| Scaricare e installare il certificato CA root di vCenter Server su ogni macchina client. |
Per Linux, vedere la sezione seguente: Come scaricare i certificati CA root attendibili per vCenter e installarli in un client Ubuntu Per Windows e Mac, fare riferimento all'articolo della Knowledge Base VMware Come scaricare e installare i certificati root di vCenter Server. |
| Sostituire il certificato VIP utilizzato per il Supervisore con un certificato firmato da un'autorità di certificazione attendibile per ogni macchina client. |
Vedere Installazione e configurazione di vSphere IaaS Control Plane. |
Certificato CA del cluster TKG
Per connettersi in modo sicuro con il server API del cluster TKG utilizzando la CLI kubectl, è necessario scaricare il certificato CA del cluster TKG.
Se si utilizza l'edizione più recente del Plug-in vSphere per kubectl, la prima volta che si accede al cluster TKG, il plug-in registra il certificato CA del cluster TKG nel file kubeconfig. Questo certificato viene archiviato anche nel segreto Kubernetes denominato TANZU-KUBERNETES-CLUSTER-NAME-ca. Il plug-in utilizza il certificato per compilare le informazioni dell'autorità di certificazione nel datastore dell'autorità di certificazione del cluster corrispondente.
Se si ha aggiornato Supervisore, assicurarsi di eseguire l'aggiornamento alla versione più recente del plug-in.
Come scaricare i certificati CA root attendibili per vCenter e installarli in un client Ubuntu
- Installare Plug-in vSphere per kubectl. Vedere Installazione di Strumenti CLI Kubernetes di vSphere..
- Scaricare i certificati CA root attendibili per l'istanza di vCenter Server in cui è abilitata Gestione carico di lavoro.
wget https://VC-IP-or_FQDN/certs/download.zip --no-check-certificate
- Estrarre il contenuto del file
download.zipnella directory corrente.unzip download.zip -d .
- Modificare il percorso utilizzando quello della directory di Linux.
cd /certs/lin
- Recuperare l'elenco (
ls) dei certificati CA nella directory/certs/lin.Dovrebbero essere presenti due certificati in formato PEM, ovvero
*.0e*.r1. Un certificato in formato PEM è leggibile in formato base64 e inizia con----BEGIN CERTIFICATE----. - Aggiungere l'estensione
*.crtai file del certificato. Ad esempio:cp dbad4059.0 dbad4059.0.crt
cp dbad4059.r1 dbad4059.r1.crt
- Copiare i file nella directory dei certificati OpenSSL in
/etc/ssl/certs.sudo cp dbad4059.0.crt /etc/ssl/certs
sudo cp dbad4059.r1.crt /etc/ssl/certs
- Accedere in modo sicuro a Supervisore.
kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME
- Accedere in modo sicuro al cluster Servizio TKG.
kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME --tanzu-kubernetes-cluster-name CLUSTER-NAME --tanzu-kubernetes-cluster-namespace VSPHERE-NS
