vSphere 管理者は、仮想 IP アドレス (VIP) の証明書を置き換えて、ホストがすでに信頼している CA で署名された証明書を使用して、スーパーバイザー クラスタ API エンドポイントに安全に接続することができます。証明書は、ログイン時と以降の スーパーバイザー クラスタ の操作の両方で、DevOps エンジニアに対して Kubernetes 制御プレーンを認証します。

前提条件

CSR に署名できる認証局 (CA) へのアクセス権があることを確認します。DevOps エンジニアの場合、認証局 (CA) を信頼できるルートとしてシステムにインストールする必要があります。

手順

  1. vSphere Client で、スーパーバイザー クラスタ に移動します。
  2. [構成] をクリックし、[名前空間][証明書] を選択します。
  3. [ワークロード プラットフォーム MTG] ペインで、[アクション] > [CSRの生成] の順に選択します。
  4. 証明書の詳細を入力します。
  5. CSR が生成されたら、[コピー] をクリックします。
  6. 認証局 (CA) を使用して証明書に署名します。
  7. [ワークロード プラットフォーム MTG] ペインで、[アクション] > [証明書の置き換え] の順に選択します。
  8. 署名付き証明書ファイルをアップロードし、[証明書の置き換え] をクリックします。
  9. Kubernetes 制御プレーンの IP アドレスで証明書を検証します。
    たとえば、 vSphere 向け Kubernetes CLI Tools のダウンロード画面を開き、ブラウザを使用して証明書が正常に置き換えられたことを確認できます。Linux または UNIX システムでは、 echo | openssl s_client -connect https://ip:6443 も使用できます。