Per accedere in modo sicuro ai cluster Supervisore e TKG 2.0, configurare il Plug-in vSphere per kubectl con il certificato TLS appropriato e assicurarsi di eseguire la versione più recente del plug-in.

Certificato CA del Supervisore

vSphere with Tanzu supporta vCenter Single Sign-On per l'accesso al cluster utilizzando il comando kubectl vsphere login … del Plug-in vSphere per kubectl.

Per impostazione predefinita, il Plug-in vSphere per kubectl è impostato sull'accesso sicuro e richiede un certificato attendibile, con il certificato predefinito è il certificato firmato dalla CA root di vCenter Server. Anche se il plug-in supporta il contrassegno --insecure-skip-tls-verify, per motivi di sicurezza questa opzione non è consigliata.

Per accedere in modo sicuro ai cluster Supervisore e TKG mediante Plug-in vSphere per kubectl, sono disponibili due opzioni:
Opzione Istruzioni

Scaricare e installare il certificato CA root di vCenter Server su ogni macchina client.

Fare riferimento all'articolo della knowledge base VMware How to download and install vCenter Server root certificates.

Sostituire il certificato VIP utilizzato per il Supervisore con un certificato firmato da un'autorità di certificazione attendibile per ogni macchina client.

Vedere Installazione e configurazione di vSphere with Tanzu.

Nota: Per ulteriori informazioni sull'autenticazione vSphere, inclusi vCenter Single Sign-On, la gestione e la rotazione dei certificati del vCenter Server e la risoluzione dei problemi relativi all'autenticazione, fare riferimento alla documentazione relativa all' autenticazione vSphere.

Certificato CA del cluster TKG

Per connettersi in modo sicuro con il server API del cluster TKG utilizzando la CLI kubectl, è necessario scaricare il certificato CA del cluster TKG 2.0.

Se si utilizza l'edizione più recente del Plug-in vSphere per kubectl, la prima volta che si accede al cluster TKG 2.0, il plug-in registra il certificato CA del cluster TKG nel file kubeconfig. Questo certificato viene archiviato anche nel segreto Kubernetes denominato TANZU-KUBERNETES-CLUSTER-NAME-ca. Il plug-in utilizza il certificato per compilare le informazioni dell'autorità di certificazione nel datastore dell'autorità di certificazione del cluster corrispondente.

Se si ha aggiornato Supervisore, assicurarsi di eseguire l'aggiornamento alla versione più recente del plug-in.