若要安全地登入 vSphere with Tanzu 叢集 (包括主管叢集和 Tanzu Kubernetes 叢集),請使用適當的 TLS 憑證設定 kubectl 適用的 vSphere 外掛程式,並確保您執行的是最新版本的外掛程式。
主管叢集 CA 憑證
vSphere with Tanzu 支援使用 kubectl 適用的 vSphere 外掛程式 命令 kubectl vsphere login … 透過 vCenter Single Sign-On 存取叢集。若要安裝並使用此公用程式,請參閱下載並安裝 vSphere 適用的 Kubernetes CLI 工具。
kubectl 適用的 vSphere 外掛程式 預設為安全登入,並且需要受信任的憑證,預設憑證為 vCenter Server 根 CA 簽署的憑證。雖然外掛程式支援 --insecure-skip-tls-verify 旗標,但出於安全考慮,不建議這麼做。
| 選項 | 指示 |
|---|---|
| 在每個用戶端電腦上下載並安裝 vCenter Server 根 CA 憑證。 |
請參閱 VMware 知識庫文章〈如何下載並安裝 vCenter Server 根憑證〉。 |
| 將用於主管叢集的 VIP 憑證取代為每個用戶端電腦信任的 CA 簽署的憑證。 |
Tanzu Kubernetes 叢集 CA 憑證
若要使用 kubectl CLI 安全地與 Tanzu Kubernetes 叢集 API 伺服器連線,您需要下載 Tanzu Kubernetes 叢集 CA 憑證。
如果您使用的是最新版本的 kubectl 適用的 vSphere 外掛程式,則在第一次登入 Tanzu Kubernetes 叢集時,外掛程式會在您的 kubeconfig 檔案中登錄 Tanzu Kubernetes 叢集 CA 憑證。此憑證儲存在名為 TANZU-KUBERNETES-CLUSTER-NAME-ca 的 Kubernetes 密碼中。外掛程式會使用此憑證在對應叢集的憑證授權機構資料存放區中填入 CA 資訊。
如果您要更新 vSphere with Tanzu,請務必更新至外掛程式的最新版本。請參閱更新 kubectl 適用的 vSphere 外掛程式。
