做為 vSphere 管理員,您可以使用由主機已信任的 CA 簽署的憑證取代虛擬 IP 位址 (VIP) 的憑證,以安全地連線至 主管 API 端點。憑證會在登入期間以及與 主管 的後續互動期間,向 DevOps 工程師驗證 Kubernetes 控制平面。

必要條件

確認您有權存取可簽署 CSR 的 CA。對於 DevOps 工程師,必須在其系統上安裝 CA 以做為受信任的根憑證。

如需有關 主管 憑證的詳細資訊,請參閱主管 CA 憑證

程序

  1. vSphere Client 中,導覽至工作負載管理
  2. 選取主管,然後從清單中選取 主管
  3. 按一下設定,然後選取憑證
  4. 工作負載管理平台窗格中,選取動作 > 產生 CSR
    圖 1. 取代主管預設憑證

    [設定憑證] 索引標籤將顯示預設憑證。
  5. 提供憑證的詳細資料。
    備註: 如果使用身分識別提供者服務,還必須包括整個憑證鏈結。但是,標準 HTTPS 流量不需要該鏈結。
  6. 產生 CSR 後,按一下複製
  7. 使用 CA 簽署憑證。
  8. 工作負載平台管理窗格中,選取動作 > 取代憑證
  9. 上傳簽署的憑證檔案,然後按一下取代憑證
  10. 驗證 Kubernetes 控制平面的 IP 位址上的憑證。
    例如,您可以開啟 vSphere 適用的 Kubernetes CLI 工具 下載頁面並使用瀏覽器確認已成功取代憑證。在 Linux 或 Unix 系統上,您也可以使用 echo | openssl s_client -connect https://ip:6443