vCenter-CA-Zertifikatsreferenzen aktualisieren

Auf dieser Seite wird beschrieben, wie Sie den Verweis auf das vCenter-CA-Zertifikat aktualisieren, wenn es sich geändert hat, da Ihr laufender Administrator- und Nutzercluster über die Änderung informiert werden müssen. Dies betrifft das Feld vCenter.caCertPath in der Konfigurationsdatei des Administratorclusters und die Konfigurationsdateien des Nutzerclusters für Google Distributed Cloud.

Sie können die Zertifikatsverweise mit dem Befehl gkectl update aktualisieren, wie hier beschrieben.

Aktualisieren Sie das referenzierte vCenter-CA-Zertifikat in den Clusterkonfigurationsdateien

So aktualisieren Sie die laufenden Administrator- und Nutzercluster mit dem neuen Zertifikat:

  1. Rufen Sie das neue vCenter-CA-Zertifikat ab und entpacken Sie es:

    curl -o certs.zip https://VCENTER_IP_ADDRESS/certs/download.zip
    unzip certs.zip
    

    Sie können das Flag -k verwenden, wenn Sie unbekannte Zertifikate zulassen möchten. Damit vermeiden Sie Zertifikatsprobleme, auf die Sie beim Zugriff auf vCenter haben können.

  2. Speichern Sie das Linux-Zertifikat in einer Datei mit dem Namen vcenter-ca.pem.

  3. Legen Sie in der Konfigurationsdatei für den AdministratorclustervCenter.caCertPath auf den Pfad Ihrer neuen vcenter-ca.pem-Datei fest.

  4. Aktualisieren Sie Ihren Administratorcluster:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

    Ersetzen Sie:

    • ADMIN_CLUSTER_CONFIG durch den Pfad Ihrer Konfigurationsdatei für den Administratorcluster.

    Nach Abschluss des Aktualisierungsbefehls verwendet der Administratorcluster das neue Zertifikat.

  5. Prüfen Sie, ob der Administratorcluster fehlerfrei ist:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

    Weitere Informationen finden Sie unter Administratorcluster diagnostizieren.

  6. Legen Sie in jeder Nutzercluster-Konfigurationsdatei vCenter.caCertPath auf den Pfad Ihrer neuen vcenter-ca.pem-Datei fest.

  7. Führen Sie für jeden Ihrer Nutzercluster den Befehl gkectl update aus:

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Ersetzen Sie:

    • USER_CLUSTER_CONFIG ist der Pfad Ihrer Nutzercluster-Konfigurationsdatei.

    Nachdem der Aktualisierungsbefehl für einen bestimmten Nutzercluster abgeschlossen ist, verwendet der Cluster das neue Zertifikat.

  8. Prüfen Sie, ob der Nutzercluster fehlerfrei ist:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --cluster-name USER_CLUSTER_NAME
    

    Weitere Informationen finden Sie unter Nutzercluster diagnostizieren.