更新 vCenter CA 证书引用

本页面介绍如何在 vCenter CA 证书发生变化时更新对证书的引用,因为正在运行的管理员集群和用户集群必须知晓相关更改。这会影响管理员集群配置文件中的 vCenter.caCertPath 字段和 Google Distributed Cloud 的用户集群配置文件。

您可以使用此处说明的 gkectl update 命令更新证书引用。

更新集群配置文件中引用的 vCenter CA 证书

要更新正在运行的管理员和用户集群以使用新的证书,请执行以下操作:

  1. 检索新的 vCenter CA 证书并将其解压缩:

    curl -o certs.zip https://VCENTER_IP_ADDRESS/certs/download.zip
    unzip certs.zip
    

    如果要允许未知证书,您可以使用 -k 标志。这是为了避免您访问 vCenter 可能遇到的任何证书问题。

  2. 将 Linux 证书保存到名为 vcenter-ca.pem 的文件中。

  3. 在管理员集群配置文件中,将 vCenter.caCertPath 设置为新的 vcenter-ca.pem 文件的路径。

  4. 更新管理员集群:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

    您需要在其中:

    • ADMIN_CLUSTER_CONFIG,替换为管理员集群配置文件的路径。

    更新命令完成后,管理员集群将使用新证书。

  5. 验证管理员集群是否健康:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

    如需了解详情,请参阅诊断管理员集群

  6. 在每个用户集群配置文件中,将 vCenter.caCertPath 设置为新 vcenter-ca.pem 文件的路径。

  7. 针对每个用户集群运行 gkectl update 命令:

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    您需要在其中:

    • USER_CLUSTER_CONFIG 替换为用户集群配置文件的路径。

    为特定用户集群完成更新命令后,该集群将使用新的证书。

  8. 验证用户集群是否健康:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --cluster-name USER_CLUSTER_NAME
    

    如需了解详情,请参阅诊断用户集群