SSL/TLS 用の追加の信頼できる CA 証明書を含む v1alpha3 API を使用して TanzuKubernetesCluster をプロビジョニングするには、YAML の例を参照してください。
v1alpha3 の例:追加の信頼できる CA 証明書を含む TKC
クラスタは次のようにカスタマイズされます。詳細については、
v1alpha3 API の仕様を参照してください。
- 追加の信頼できる CA 証明書がクラスタ仕様の
network.trust.additionalTrustedCAsセクションで宣言されています additionalTrustedCAsフィールドは、次に示す名前と値のペアの配列です。nameフィールドはユーザー定義の文字列ですdata値は、base64 エンコードの PEM 形式の CA 証明書の内容です
apiVersion: run.tanzu.vmware.com/v1alpha3
kind: TanzuKubernetesCluster
metadata:
name: tkc-additional-trusted-cas
namespace: tkgs-cluster-ns
spec:
topology:
controlPlane:
replicas: 3
vmClass: guaranteed-medium
storageClass: tkgs-storage-policy
tkr:
reference:
name: v1.25.7---vmware.3-fips.1-tkg.1
nodePools:
- name: worker
replicas: 3
vmClass: guaranteed-medium
storageClass: tkgs-storage-policy
tkr:
reference:
name: v1.25.7---vmware.3-fips.1-tkg.1
settings:
storage:
defaultClass: tkgs-storage-policy
network:
trust:
additionalTrustedCAs:
- name: CompanyInternalCA-1
data: LS0tLS1C...LS0tCg==
- name: CompanyInternalCA-2
data: MTLtMT1C...MT0tPg==
手順:新しいクラスタ
新しい TKGS クラスタに追加の信頼できる CA 証明書を 1 つ以上含める場合は、次の手順を実行します。
- 1 つ以上の CA 証明書の名前とデータ値を
additionalTrustedCAsフィールドにポピュレートします。 - 通常どおりクラスタをプロビジョニングします。
- クラスタが正常にプロビジョニングされると、追加した CA 証明書がクラスタによって信頼されます。
手順:既存のクラスタ
既存のクラスタに追加の信頼できる CA 証明書を 1 つ以上追加する場合は、次の手順を実行します。
- kubectl の編集が構成されていることを確認します。
kubectl のテキスト エディタの構成を参照してください。
- クラスタ仕様を編集します。
kubectl edit tanzukubernetescluster/tkgs-cluster-name
network.trust.additionalTrustedCAsセクションを仕様に追加します。- 1 つ以上の CA 証明書の名前とデータ値を
additionalTrustedCAsフィールドにポピュレートします。 - テキスト エディタで変更を保存し、変更が kubectl によって登録されたことを確認します。
kubectl edit tanzukubernetescluster/tkgs-cluster-name tanzukubernetescluster.run.tanzu.vmware.com/tkgs-cluster-name edited
- クラスタのローリング アップデートが開始されると、信頼できる CA 証明書が追加されます。
TKG サービス クラスタのローリング アップデート モデルについてを参照してください。
追加の信頼できる CA 証明書の確認
クラスタに追加された信頼できる CA 証明書は、クラスタの kubeconfig ファイルに含まれています。
追加の信頼できる CA 証明書のトラブルシューティング
追加の信頼できる CA に関するエラーのトラブルシューティングを参照してください。
使用事例
最も一般的な使用事例は、コンテナ レジストリに接続するための信頼できる CA を追加する場合です。TKG サービス クラスタとプライベート コンテナ レジストリの統合を参照してください。
