スーパーバイザー クラスタ や Tanzu Kubernetes クラスタなどの vSphere with Tanzu クラスタに安全にログインするには、適切な TLS 証明書を使用して kubectl 向けの vSphere プラグイン を構成し、プラグインの最新バージョンが実行されていることを確認します。
スーパーバイザー クラスタ CA 証明書
vSphere with Tanzu は、kubectl 向けの vSphere プラグイン コマンド kubectl vsphere login … を使用してクラスタ アクセスのための vCenter Single Sign-On をサポートします。このユーティリティをインストールして使用するには、vSphere 向け Kubernetes CLI Tools のダウンロードとインストール を参照してください。
kubectl 向けの vSphere プラグイン では、デフォルトで安全なログインが行われ、信頼されている証明書が必要とされます。デフォルトは、vCenter Server ルート CA によって署名された証明書です。プラグインは --insecure-skip-tls-verify フラグをサポートしていますが、これはセキュリティ上の理由から推奨されません。
| オプション | 方法 |
|---|---|
| 各クライアント マシンに vCenter Server ルート CA 証明書をダウンロードしてインストールします。 |
VMware ナレッジベースの記事Web ブラウザで証明書に関する警告表示を出さないようにするために vCenter Server のルート証明書をダウンロードしてインストールする方法を参照してください。 |
| スーパーバイザー クラスタ で使用される VIP 証明書を、各クライアント マシンが信頼する CA によって署名された証明書に置き換えます。 |
Tanzu Kubernetes クラスタ CA 証明書
kubectl CLI を使用して Tanzu Kubernetes クラスタ API サーバと安全に接続するには、Tanzu Kubernetes クラスタ CA 証明書をダウンロードする必要があります。
kubectl 向けの vSphere プラグイン の最新バージョンを使用している場合、Tanzu Kubernetes クラスタに初めてログインすると、プラグインによって kubeconfig ファイルに Tanzu Kubernetes クラスタ CA 証明書が登録されます。この証明書は TANZU-KUBERNETES-NAME-ca という名前の Kubernetes シークレットに格納されます。プラグインは、この証明書を使用して、対応するクラスタの認証局データストアの CA 情報を入力します。
vSphere with Tanzu をアップデートする場合は、プラグインの最新バージョンに更新してください。kubectl 向けの vSphere プラグイン の更新を参照してください。
