スーパーバイザーTanzu Kubernetes クラスタなどの vSphere with Tanzu クラスタに安全にログインするには、適切な TLS 証明書を使用して kubectl 向けの vSphere プラグイン を構成し、プラグインの最新バージョンが実行されていることを確認します。

スーパーバイザー CA 証明書

vSphere with Tanzu は、kubectl 向けの vSphere プラグイン コマンド kubectl vsphere login … を使用してクラスタ アクセスのための vCenter Single Sign-On をサポートします。このユーティリティをインストールして使用するには、vSphere 向け Kubernetes CLI Tools のダウンロードとインストール を参照してください。

kubectl 向けの vSphere プラグイン では、デフォルトで安全なログインが行われ、信頼されている証明書が必要とされます。デフォルトは、vCenter Server ルート CA によって署名された証明書です。プラグインは --insecure-skip-tls-verify フラグをサポートしていますが、これはセキュリティ上の理由から推奨されません。

kubectl 向けの vSphere プラグイン を使用して スーパーバイザー および Tanzu Kubernetes クラスタに安全にログインするには、次の 2 つのオプションがあります。
オプション 方法

各クライアント マシンに vCenter Server ルート CA 証明書をダウンロードしてインストールします。

VMware ナレッジベースの記事Web ブラウザで証明書に関する警告表示を出さないようにするために vCenter Server のルート証明書をダウンロードしてインストールする方法を参照してください。

スーパーバイザー で使用される VIP 証明書を、各クライアント マシンが信頼する CA によって署名された証明書に置き換えます。

スーパーバイザー API エンドポイントに安全に接続するための VIP 証明書の置き換えを参照してください

注: vCenter Single Sign-OnvCenter Server 証明書の管理とローテーション、認証のトラブルシューティングなど、vSphere 認証の詳細については、 vSphere Authenticationのドキュメントを参照してください。

Tanzu Kubernetes クラスタ CA 証明書

kubectl CLI を使用して Tanzu Kubernetes クラスタ API サーバと安全に接続するには、Tanzu Kubernetes クラスタ CA 証明書をダウンロードする必要があります。

kubectl 向けの vSphere プラグイン の最新バージョンを使用している場合、Tanzu Kubernetes クラスタに初めてログインすると、プラグインによって kubeconfig ファイルに Tanzu Kubernetes クラスタ CA 証明書が登録されます。この証明書は TANZU-KUBERNETES-NAME-ca という名前の Kubernetes シークレットに格納されます。プラグインは、この証明書を使用して、対応するクラスタの認証局データストアの CA 情報を入力します。

vSphere with Tanzu をアップデートする場合は、プラグインの最新バージョンに更新してください。『vSphere with Tanzu の保守』のUpdate the vSphere Plugin for kubectlを参照してください。