本页面介绍如何在 vCenter CA 证书发生变化时更新对证书的引用,因为正在运行的管理员集群和用户集群必须知晓相关更改。这会影响管理员集群配置文件中的 vCenter.caCertPath
字段和 Google Distributed Cloud 的用户集群配置文件。
您可以使用此处说明的 gkectl update
命令更新证书引用。
更新集群配置文件中引用的 vCenter CA 证书
要更新正在运行的管理员和用户集群以使用新的证书,请执行以下操作:
检索新的 vCenter CA 证书并将其解压缩:
curl -o certs.zip https://VCENTER_IP_ADDRESS/certs/download.zip unzip certs.zip
如果要允许未知证书,您可以使用
-k
标志。这是为了避免您访问 vCenter 可能遇到的任何证书问题。将 Linux 证书保存到名为
vcenter-ca.pem
的文件中。在管理员集群配置文件中,将
vCenter.caCertPath
设置为新的vcenter-ca.pem
文件的路径。更新管理员集群:
gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
您需要在其中:
- ADMIN_CLUSTER_CONFIG,替换为管理员集群配置文件的路径。
更新命令完成后,管理员集群将使用新证书。
验证管理员集群是否健康:
gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
如需了解详情,请参阅诊断管理员集群。
在每个用户集群配置文件中,将
vCenter.caCertPath
设置为新vcenter-ca.pem
文件的路径。针对每个用户集群运行
gkectl update
命令:gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
您需要在其中:
- 将 USER_CLUSTER_CONFIG 替换为用户集群配置文件的路径。
为特定用户集群完成更新命令后,该集群将使用新的证书。
验证用户集群是否健康:
gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --cluster-name USER_CLUSTER_NAME
如需了解详情,请参阅诊断用户集群。