本页介绍如何在 vCenter 证书发生变化时更新对证书的引用,因为正在运行的管理员集群和用户集群必须收到有关更改的信息。这会影响管理员集群配置文件中的 vCenter.caCertPath 字段以及 Anthos clusters on VMware (GKE On-Prem) 的用户集群配置文件。
您可以使用此处说明的 gkectl update 命令更新证书引用。
更新集群配置文件中引用的 vCenter 证书
要更新正在运行的管理员和用户集群以使用新的证书,请执行以下操作:
检索新的 vCenter 证书并将其解压缩:
curl -o certs.zip https://VCENTER_IP_ADDRESS/certs/download.zip unzip certs.zip
如果要允许未知证书,您可以使用
-k标志。这是为了避免您访问 vCenter 可能遇到的任何证书问题。将 Linux 证书保存到名为
vcenter-ca.pem的文件中。在管理员集群配置文件中,将
vCenter.caCertPath设置为新的vcenter-ca.pem文件的路径。更新管理员集群配置文件:
gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
进行替换:
- ADMIN_CLUSTER_CONFIG,替换为管理员集群配置文件的路径。
在每个用户集群配置文件中,将
vCenter.caCertPath设置为新vcenter-ca.pem文件的路径。针对您的每个用户集群,运行 gkectl update 命令:
gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
进行替换:
- 将 USER_CLUSTER_CONFIG 替换为用户集群配置文件的路径。
命令成功运行后,集群将开始使用新证书。