vSphere 管理者は、仮想 IP アドレス (VIP) の証明書を置き換えて、ホストがすでに信頼している CA で署名された証明書を使用して、スーパーバイザー API エンドポイントに安全に接続することができます。証明書は、ログイン時と以降の スーパーバイザー の操作の両方で、DevOps エンジニアに対して Kubernetes 制御プレーンを認証します。

前提条件

CSR に署名できる認証局 (CA) へのアクセス権があることを確認します。DevOps エンジニアの場合、認証局 (CA) を信頼できるルートとしてシステムにインストールする必要があります。

スーパーバイザー 証明書の詳細については、スーパーバイザー CA 証明書を参照してください。

手順

  1. vSphere Client で、[ワークロード管理] に移動します。
  2. [スーパーバイザー] を選択し、リストから スーパーバイザー を選択します。
  3. [構成] をクリックし、[証明書] を選択します。
  4. [ワークロード管理プラットフォーム] ペインで、[アクション] > [CSR の生成] の順に選択します。
    図 1. スーパーバイザーのデフォルトの証明書の置換

    [証明書の構成] タブにデフォルトの証明書が表示されます。
  5. 証明書の詳細を入力します。
    注: ID プロバイダ サービスを使用する場合は、証明書チェーン全体も含める必要があります。ただし、標準の HTTPS トラフィックにはチェーンは必要ありません。
  6. CSR が生成されたら、[コピー] をクリックします。
  7. 認証局 (CA) を使用して証明書に署名します。
  8. [ワークロード管理プラットフォーム] ペインで、[アクション] > [証明書の置き換え] の順に選択します。
  9. 署名付き証明書ファイルをアップロードし、[証明書の置き換え] をクリックします。
  10. Kubernetes 制御プレーンの IP アドレスで証明書を検証します。
    たとえば、 vSphere 向け Kubernetes CLI Tools のダウンロード画面を開き、ブラウザを使用して証明書が正常に置き換えられたことを確認できます。Linux または UNIX システムでは、 echo | openssl s_client -connect https://ip:6443 も使用できます。