vCenter Single Sign-On 인증을 위한 보안 로그인 구성

감독자 및 TKG 서비스 클러스터에 안전하게 로그인하려면 적절한 TLS 인증서로 kubectl용 vSphere 플러그인을 구성하고 최신 버전의 플러그인을 실행하고 있는지 확인합니다.

감독자 CA 인증서

vSphere IaaS control plane은 kubectl용 vSphere 플러그인 명령인 kubectl vsphere login …을 사용하여 클러스터에 액세스할 수 있도록 vCenter Single Sign-On을 지원합니다.

kubectl용 vSphere 플러그인은 기본적으로 보안 로그인을 사용하고 신뢰할 수 있는 인증서가 필요하며, 기본값은 vCenter Server 루트 CA에서 서명한 인증서입니다. 플러그인은 --insecure-skip-tls-verify 플래그를 지원하지만 보안상의 이유로 이 플래그는 권장되지 않습니다.

kubectl용 vSphere 플러그인을 사용하여 감독자 및 TKG 서비스 클러스터에 안전하게 로그인하기 위한 두 가지 옵션이 있습니다.

옵션	지침
각 클라이언트 시스템에 vCenter Server 루트 CA 인증서를 다운로드하고 설치합니다.	Linux의 경우 아래 섹션을 참조하십시오. vCenter에 대한 신뢰할 수 있는 루트 CA 인증서를 다운로드하여 Ubuntu 클라이언트에 설치 Windows와 Mac의 경우 VMware 기술 자료 문서 vCenter Server 루트 인증서를 다운로드하고 설치하는 방법을 참조하십시오.
감독자에 사용되는 VIP 인증서를 각 클라이언트 시스템이 신뢰하는 CA에서 서명한 인증서로 바꿉니다.	"vSphere IaaS 제어부 설치 및 구성" 의 내용을 참조하십시오.

옵션

지침

각 클라이언트 시스템에 vCenter Server 루트 CA 인증서를 다운로드하고 설치합니다.

Linux의 경우 아래 섹션을 참조하십시오. vCenter에 대한 신뢰할 수 있는 루트 CA 인증서를 다운로드하여 Ubuntu 클라이언트에 설치

Windows와 Mac의 경우 VMware 기술 자료 문서 vCenter Server 루트 인증서를 다운로드하고 설치하는 방법을 참조하십시오.

감독자에 사용되는 VIP 인증서를 각 클라이언트 시스템이 신뢰하는 CA에서 서명한 인증서로 바꿉니다.

"vSphere IaaS 제어부 설치 및 구성" 의 내용을 참조하십시오.

참고: vCenter Single Sign-On, vCenter Server 인증서 관리 및 순환, 문제 해결을 비롯한 vSphere 인증에 대한 자세한 내용은 " vSphere 인증" 설명서를 참조하십시오.

TKG 클러스터 CA 인증서

kubectl CLI를 사용하여 TKG 클러스터 API 서버와 안전하게 연결하려면 TKG 클러스터 CA 인증서를 다운로드해야 합니다.

최신 버전의 kubectl용 vSphere 플러그인을 사용하는 경우에는 TKG 클러스터에 처음 로그인할 때 플러그인이 TKG 클러스터 CA 인증서를 kubeconfig 파일에 등록합니다. 이 인증서는 TANZU-KUBERNETES-CLUSTER-NAME-ca이라는 Kubernetes 암호에도 저장됩니다. 플러그인은 인증서를 사용하여 해당 클러스터의 CA(인증 기관) 데이터스토어에 CA 정보를 채웁니다.

감독자를 업데이트한 경우 최신 버전의 플러그인으로 업데이트해야 합니다.

vCenter에 대한 신뢰할 수 있는 루트 CA 인증서를 다운로드하여 Ubuntu 클라이언트에 설치

이 절차에 따라 vCenter Server에 대한 신뢰할 수 있는 루트 CA 인증서를 다운로드하고 Ubuntu 클라이언트에 설치하면 kubectl용 vSphere 플러그인을 사용하여 감독자 및 TKG 서비스 클러스터에 안전하게 로그인할 수 있습니다.

kubectl용 vSphere 플러그인를 설치합니다. vSphere에 대한 Kubernetes CLI 도구 설치의 내용을 참조하십시오.
워크로드 관리를 사용하도록 설정된 vCenter Server에 대한 신뢰할 수 있는 루트 CA 인증서를 다운로드합니다.
```
wget https://VC-IP-or_FQDN/certs/download.zip --no-check-certificate
```
현재 디렉토리에 download.zip 파일 컨텐츠의 압축을 풉니다.
```
unzip download.zip -d .
```
Linux 디렉토리로 경로를 변경합니다.
```
cd /certs/lin
```
/certs/lin 디렉토리에 CA 인증서를 나열(ls)합니다.
PEM 형식의 인증서 파일 두 개(*.0 및 *.r1)가 표시됩니다. PEM 형식의 인증서는 base64 형식으로 사람이 읽을 수 있으며 ----BEGIN CERTIFICATE----으로 시작합니다.

인증서 파일에 *.crt 확장명을 추가합니다. 예:

cp dbad4059.0 dbad4059.0.crt

cp dbad4059.r1 dbad4059.r1.crt

파일을 /etc/ssl/certs의 OpenSSL 인증서 디렉토리에 복사합니다.
```
sudo cp dbad4059.0.crt /etc/ssl/certs
```
```
sudo cp dbad4059.r1.crt /etc/ssl/certs
```

감독자에 안전하게 로그인합니다.

kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME

TKG 서비스 클러스터에 안전하게 로그인합니다.

kubectl vsphere login --server=IP-or-FQDN --vsphere-username USERNAME --tanzu-kubernetes-cluster-name CLUSTER-NAME --tanzu-kubernetes-cluster-namespace VSPHERE-NS