TKG 클러스터에 신뢰할 수 있는 CA 인증서를 더 추가하는 데 문제가 있는 경우 이 항목을 참조하십시오.

추가적인 신뢰할 수 있는 CA 오류 문제 해결

v1alpha3 API 또는 v1beta1 API를 사용하여 추가적인 신뢰할 수 있는 CA 인증서에 대한 값이 포함된 trust 변수를 포함할 수 있습니다. 일반적인 사용 사례는 개인 컨테이너 레지스트리 인증서를 클러스터에 추가하는 것입니다. TKG 서비스 클러스터를 개인 컨테이너 레지스트리와 통합의 내용을 참조하십시오.

예를 들어 v1beta1 API를 사용합니다.
topology:
  variables:
    - name: trust
      value:
        additionalTrustedCAs:
          - name: my-ca
이때, 암호는 다음과 같습니다.
apiVersion: v1
data:
  my-ca: # Double Base64 encoded CA certificate
kind: Secret
metadata:
  name: CLUSTER_NAME-user-trusted-ca-secret
  namespace: tap
type: Opaque

TKG 클러스터 규격에 trust.additionalTrustedCAs stanza를 추가하면 감독자롤링 업데이트 방식으로 클러스터 노드를 업데이트합니다. 하지만 trust 값을 잘못 입력하면 시스템이 제대로 시작되지 않고 클러스터에 가입하지 못합니다.

v1beta1 API를 사용하는 경우 인증서의 컨텐츠가 이중 base64로 인코딩되어야 합니다. 인증서의 컨텐츠가 이중 base64로 인코딩되지 않은 경우 다음 오류가 표시될 수 있습니다.
ls cannot access '/var/tmp/_var_ib_containerd': No such file or directory
v1alpha3 API(또는 v1alpha2 API)를 사용하는 경우 인증서의 컨텐츠가 단일 base64로 인코딩되어야 합니다. 인증서의 컨텐츠가 base64로 인코딩되지 않은 경우 다음 오류가 표시될 수 있습니다.
"default.validating.tanzukubernetescluster.run.tanzu.vmware.com" denied the request: 
Invalid certificate internalharbor, Error decoding PEM block for internalharbor in the TanzuKubernetesCluster spec's trust configuration

적절한 인코딩을 사용하지 않으면 시스템 노드가 시작되지 않고 위의 오류가 표시됩니다. 이 문제를 해결하려면 인증서의 컨텐츠를 올바르게 인코딩하고 해당 값을 암호의 데이터 맵에 추가합니다.

'kubectl replace -f/tmp/kubectl-edit-2005376329.yaml'을 실행하여 이 업데이트를 다시 시도할 수 있습니다.