如果在向 TKG 叢集新增其他受信任的 CA 憑證時遇到問題,請參閱此主題。

對其他受信任 CA 錯誤進行疑難排解

使用 v1alpha3 API 或 v1beta1 API,可以包括 trust 變數,其中包含其他受信任的 CA 憑證的值。常見使用案例是將私人容器登錄憑證新增到叢集。請參閱將 TKG 服務 叢集與私人容器登錄整合

例如,使用 v1beta1 API:
topology:
  variables:
    - name: trust
      value:
        additionalTrustedCAs:
          - name: my-ca
密碼如下所示:
apiVersion: v1
data:
  my-ca: # Double Base64 encoded CA certificate
kind: Secret
metadata:
  name: CLUSTER_NAME-user-trusted-ca-secret
  namespace: tap
type: Opaque

trust.additionalTrustedCAs 部分新增到 TKG 叢集規格時,主管 會以輪流更新方式更新叢集節點。但是,如果在 trust 值中出錯,機器將無法正常啟動,且無法加入叢集。

如果使用的是 v1beta1 API,則憑證內容必須採用雙 base64 編碼。如果憑證內容採用的不是雙 base64 編碼,則可能會看到以下錯誤。
ls cannot access '/var/tmp/_var_ib_containerd': No such file or directory
如果使用的是 v1alpha3 API (或 v1alpha2 API),則憑證內容必須採用單 base64 編碼。如果憑證內容採用的不是單 base 64 編碼,則可能會看到以下錯誤。
"default.validating.tanzukubernetescluster.run.tanzu.vmware.com" denied the request: 
Invalid certificate internalharbor, Error decoding PEM block for internalharbor in the TanzuKubernetesCluster spec's trust configuration

如果未使用正確的編碼,則機器節點將不會啟動,且您會收到上述錯誤。若要修正此問題,請對憑證內容進行正確編碼,並將該值新增到密碼的資料對應中。

您可以執行「kubectl replace -f/tmp/kubectl-edit-2005376329.yaml」重試此更新。