更新 vCenter CA 证书引用

本页面介绍如何在 vCenter CA 证书发生变化时更新对证书的引用,因为正在运行的管理员集群和用户集群必须知晓相关更改。这会影响管理员集群配置文件中的 vCenter.caCertPath 字段以及 Anthos clusters on VMware (GKE On-Prem) 的用户集群配置文件。

您可以使用此处说明的 gkectl update 命令更新证书引用。

更新集群配置文件中引用的 vCenter CA 证书

要更新正在运行的管理员和用户集群以使用新的证书,请执行以下操作:

  1. 检索新的 vCenter CA 证书并将其解压缩:

    curl -o certs.zip https://VCENTER_IP_ADDRESS/certs/download.zip
    unzip certs.zip
    

    如果要允许未知证书,您可以使用 -k 标志。这是为了避免您访问 vCenter 可能遇到的任何证书问题。

  2. 将 Linux 证书保存到名为 vcenter-ca.pem 的文件中。

  3. 在管理员集群配置文件中,将 vCenter.caCertPath 设置为新的 vcenter-ca.pem 文件的路径。

  4. 更新管理员集群:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

    您需要将其中的:

    • ADMIN_CLUSTER_CONFIG,替换为管理员集群配置文件的路径。
  5. 在每个用户集群配置文件中,将 vCenter.caCertPath 设置为新 vcenter-ca.pem 文件的路径。

  6. 针对每个用户集群运行 gkectl update 命令:

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    您需要将其中的:

    • USER_CLUSTER_CONFIG 替换为用户集群配置文件的路径。

命令成功运行后,集群将开始使用新证书。