スーパーバイザー や Tanzu Kubernetes Grid クラスタに安全にログインするには、適切な TLS 証明書を使用して kubectl 向けの vSphere プラグイン を構成し、プラグインの最新バージョンが実行されるようにします。
スーパーバイザー CA 証明書
vSphere IaaS control plane は、kubectl 向けの vSphere プラグイン コマンド kubectl vsphere login …
を使用することにより、クラスタ アクセスのための vCenter Single Sign-On をサポートします。このユーティリティをインストールして使用するには、vSphere 向け Kubernetes CLI Tools のダウンロードとインストール を参照してください。
kubectl 向けの vSphere プラグイン では、デフォルトで安全なログインが行われ、信頼されている証明書が必要とされます。デフォルトは、vCenter Server ルート CA によって署名された証明書です。プラグインは --insecure-skip-tls-verify
フラグをサポートしていますが、これはセキュリティ上の理由から推奨されません。
オプション | 方法 |
---|---|
各クライアント マシンに vCenter Server ルート CA 証明書をダウンロードしてインストールします。 |
VMware ナレッジベースの記事Web ブラウザで証明書に関する警告表示を出さないようにするために vCenter Server のルート証明書をダウンロードしてインストールする方法を参照してください。 |
スーパーバイザー で使用される VIP 証明書を、各クライアント マシンが信頼する CA によって署名された証明書に置き換えます。 |
Tanzu Kubernetes Grid クラスタ CA 証明書
kubectl
CLI を使用して Tanzu Kubernetes クラスタ API サーバと安全に接続するには、Tanzu Kubernetes クラスタ CA 証明書をダウンロードします。
kubectl 向けの vSphere プラグイン の最新バージョンを使用している場合、Tanzu Kubernetes Grid クラスタに初めてログインすると、プラグインによって kubeconfig ファイルに Tanzu Kubernetes クラスタ CA 証明書が登録されます。この証明書は TANZU-KUBERNETES-NAME-ca
という名前の Kubernetes シークレットに格納されます。プラグインは、この証明書を使用して、対応するクラスタの CA データストアの CA 情報をポピュレートします。
vSphere IaaS control plane をアップデートする場合は、プラグインの最新バージョンに更新してください。『vSphere IaaS 制御プレーンのメンテナンス』のUpdate the vSphere Plugin for kubectlを参照してください。