請參閱範例 YAML,使用 v1alpha3 API 為 TanzuKubernetesCluster 佈建 SSL/TLS 的其他受信任的 CA 憑證。

v1alpha3 範例:具有其他受信任的 CA 憑證的 TKC

按如下方式自訂叢集。如需詳細資訊,請參閱 v1alpha3 API 規格
  • 叢集規格的 network.trust.additionalTrustedCAs 部分中宣告了其他受信任的 CA 憑證
  • additionalTrustedCAs 欄位是名稱-值對的陣列:
    • name 欄位是使用者定義的字串
    • data 值是採用 base64 編碼的 PEM 格式的 CA 憑證內容
apiVersion: run.tanzu.vmware.com/v1alpha3
kind: TanzuKubernetesCluster
metadata:
  name: tkc-additional-trusted-cas
  namespace: tkgs-cluster-ns
spec:
  topology:
    controlPlane:
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
    nodePools:
    - name: worker
      replicas: 3
      vmClass: guaranteed-medium
      storageClass: tkgs-storage-policy
      tkr:
        reference:
          name: v1.25.7---vmware.3-fips.1-tkg.1
  settings:
    storage:
      defaultClass: tkgs-storage-policy
    network:
      trust:
        additionalTrustedCAs:
          - name: CompanyInternalCA-1
            data: LS0tLS1C...LS0tCg==
          - name: CompanyInternalCA-2
            data: MTLtMT1C...MT0tPg==

程序:新叢集

完成以下程序,以在新的 TKGS 叢集中包含一個或多個其他受信任的 CA 憑證。
  1. additionalTrustedCAs 欄位中填入一或多個 CA 憑證的名稱和資料值。
  2. 像平常一樣佈建叢集。

    請參閱使用 Kubectl 佈建 TKG 叢集的工作流程

  3. 成功佈建叢集後,您新增的 CA 憑證將受叢集信任。

程序:現有叢集

完成以下程序,以將一或多個其他受信任的 CA 憑證新增到現有叢集。
  1. 確認您已設定 kubectl 編輯。

    請參閱為 Kubectl 設定文字編輯器

  2. 編輯叢集規格。
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
  3. network.trust.additionalTrustedCAs 部分新增到規格中。
  4. additionalTrustedCAs 欄位中填入一或多個 CA 憑證的名稱和資料值。
  5. 在文字編輯器中儲存變更,並驗證 kubectl 是否已註冊這些變更。
    kubectl edit tanzukubernetescluster/tkgs-cluster-name
tanzukubernetescluster.run.tanzu.vmware.com/tkgs-cluster-name edited
  6. 為叢集啟動輪流更新時,將新增其他受信任的 CA 憑證。

    請參閱瞭解 TKG 服務 叢集的輪流更新模型

驗證其他受信任的 CA 憑證

新增到叢集的其他受信任的 CA 憑證包含在叢集的 kubeconfig 檔案中。

對其他受信任的 CA 憑證進行疑難排解

請參閱對其他受信任 CA 錯誤進行疑難排解

使用案例

最常見的使用案例是新增其他受信任的 CA 以連線至容器登錄。請參閱將 TKG 服務 叢集與私人容器登錄整合