本页面介绍如何在 vCenter CA 证书发生变化时更新对证书的引用,因为正在运行的管理员集群和用户集群必须知晓相关更改。这会影响管理员集群配置文件中的 vCenter.caCertPath
字段以及 Anthos clusters on VMware (GKE On-Prem) 的用户集群配置文件。
您可以使用此处说明的 gkectl update
命令更新证书引用。
更新集群配置文件中引用的 vCenter CA 证书
要更新正在运行的管理员和用户集群以使用新的证书,请执行以下操作:
检索新的 vCenter CA 证书并将其解压缩:
curl -o certs.zip https://VCENTER_IP_ADDRESS/certs/download.zip unzip certs.zip
如果要允许未知证书,您可以使用
-k
标志。这是为了避免您访问 vCenter 可能遇到的任何证书问题。将 Linux 证书保存到名为
vcenter-ca.pem
的文件中。在管理员集群配置文件中,将
vCenter.caCertPath
设置为新的vcenter-ca.pem
文件的路径。更新管理员集群:
gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
您需要将其中的:
- ADMIN_CLUSTER_CONFIG,替换为管理员集群配置文件的路径。
在每个用户集群配置文件中,将
vCenter.caCertPath
设置为新vcenter-ca.pem
文件的路径。针对每个用户集群运行
gkectl update
命令:gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
您需要将其中的:
- 将 USER_CLUSTER_CONFIG 替换为用户集群配置文件的路径。
命令成功运行后,集群将开始使用新证书。