Per accedere in modo sicuro al Supervisore e ai cluster Servizio TKG, configurare Plug-in vSphere per kubectl con il certificato TLS appropriato e assicurarsi di eseguire la versione più recente del plug-in.

Certificato CA del Supervisore

vSphere IaaS control plane supporta vCenter Single Sign-On per l'accesso al cluster utilizzando il comando kubectl vsphere login … del Plug-in vSphere per kubectl.

Per impostazione predefinita, il Plug-in vSphere per kubectl è impostato sull'accesso sicuro e richiede un certificato attendibile, con il certificato predefinito è il certificato firmato dalla CA root di vCenter Server. Anche se il plug-in supporta il contrassegno --insecure-skip-tls-verify, per motivi di sicurezza questa opzione non è consigliata.

Per accedere in modo sicuro al Supervisore e ai cluster Servizio TKG mediante il Plug-in vSphere per kubectl, sono disponibili due opzioni:
Opzione Istruzioni

Scaricare e installare il certificato CA root di vCenter Server su ogni macchina client.

Per Linux, vedere la sezione seguente: Come scaricare i certificati CA root attendibili per vCenter e installarli in un client Ubuntu

Per Windows e Mac, fare riferimento all'articolo della Knowledge Base VMware Come scaricare e installare i certificati root di vCenter Server.

Sostituire il certificato VIP utilizzato per il Supervisore con un certificato firmato da un'autorità di certificazione attendibile per ogni macchina client.

Vedere Installazione e configurazione di vSphere IaaS Control Plane.

Nota: Per ulteriori informazioni sull'autenticazione vSphere, inclusi vCenter Single Sign-On, la gestione e la rotazione dei certificati del vCenter Server e la risoluzione dei problemi relativi all'autenticazione, fare riferimento alla documentazione relativa all' autenticazione vSphere.

Certificato CA del cluster TKG

Per connettersi in modo sicuro con il server API del cluster TKG utilizzando la CLI kubectl, è necessario scaricare il certificato CA del cluster TKG.

Se si utilizza l'edizione più recente del Plug-in vSphere per kubectl, la prima volta che si accede al cluster TKG, il plug-in registra il certificato CA del cluster TKG nel file kubeconfig. Questo certificato viene archiviato anche nel segreto Kubernetes denominato TANZU-KUBERNETES-CLUSTER-NAME-ca. Il plug-in utilizza il certificato per compilare le informazioni dell'autorità di certificazione nel datastore dell'autorità di certificazione del cluster corrispondente.

Se si ha aggiornato Supervisore, assicurarsi di eseguire l'aggiornamento alla versione più recente del plug-in.

Come scaricare i certificati CA root attendibili per vCenter e installarli in un client Ubuntu

Eseguire questa procedura per scaricare i certificati CA root attendibili per vCenter Server e installarli in un client Ubuntu per poter accedere in modo sicuro al Supervisore e ai cluster Servizio TKG tramite Plug-in vSphere per kubectl.
  1. Installare Plug-in vSphere per kubectl. Vedere Installazione di Strumenti CLI Kubernetes di vSphere..
  2. Scaricare i certificati CA root attendibili per l'istanza di vCenter Server in cui è abilitata Gestione carico di lavoro.
    wget https://VC-IP-or_FQDN/certs/download.zip --no-check-certificate
  3. Estrarre il contenuto del file download.zip nella directory corrente.
    unzip download.zip -d .
  4. Modificare il percorso utilizzando quello della directory di Linux.
    cd /certs/lin
  5. Recuperare l'elenco (ls) dei certificati CA nella directory /certs/lin.

    Dovrebbero essere presenti due certificati in formato PEM, ovvero *.0 e *.r1. Un certificato in formato PEM è leggibile in formato base64 e inizia con ----BEGIN CERTIFICATE----.

  6. Aggiungere l'estensione *.crt ai file del certificato. Ad esempio:
    cp dbad4059.0 dbad4059.0.crt
    cp dbad4059.r1 dbad4059.r1.crt
  7. Copiare i file nella directory dei certificati OpenSSL in /etc/ssl/certs.
    sudo cp dbad4059.0.crt /etc/ssl/certs
    sudo cp dbad4059.r1.crt /etc/ssl/certs
  8. Accedere in modo sicuro a Supervisore.
    kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME
  9. Accedere in modo sicuro al cluster Servizio TKG.
    kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME --tanzu-kubernetes-cluster-name CLUSTER-NAME --tanzu-kubernetes-cluster-namespace VSPHERE-NS