做為 vSphere 管理員,您可以使用由主機已信任的 CA 簽署的憑證取代虛擬 IP 位址 (VIP) 的憑證,以安全地連線至 主管 API 端點。憑證會在登入期間以及與 主管 的後續互動期間,向 DevOps 工程師驗證 Kubernetes 控制平面。
必要條件
確認您有權存取可簽署 CSR 的 CA。對於 DevOps 工程師,必須在其系統上安裝 CA 以做為受信任的根憑證。
如需有關 主管 憑證的詳細資訊,請參閱主管 CA 憑證。
程序
- 在 vSphere Client 中,導覽至工作負載管理。
- 選取主管,然後從清單中選取 主管。
- 按一下設定,然後選取憑證。
- 在工作負載管理平台窗格中,選取。
圖 1. 取代主管預設憑證
![[設定憑證] 索引標籤將顯示預設憑證。](images/GUID-05BCE6A6-F632-4B33-9C23-CC860EBD2692-low.png)
- 提供憑證的詳細資料。
備註: 如果使用身分識別提供者服務,還必須包括整個憑證鏈結。但是,標準 HTTPS 流量不需要該鏈結。
- 產生 CSR 後,按一下複製。
- 使用 CA 簽署憑證。
- 從工作負載平台管理窗格中,選取。
- 上傳簽署的憑證檔案,然後按一下取代憑證。
- 驗證 Kubernetes 控制平面的 IP 位址上的憑證。
例如,您可以開啟
vSphere 適用的 Kubernetes CLI 工具 下載頁面並使用瀏覽器確認已成功取代憑證。在 Linux 或 Unix 系統上,您也可以使用
echo | openssl s_client -connect https://ip:6443。
