Actualizar las referencias del certificado de AC de vCenter

En esta página se describe cómo actualizar la referencia al certificado de CA de vCenter si ha cambiado, ya que el clúster de administrador y los clústeres de usuario en ejecución deben conocer el cambio. Esto afecta al campo vCenter.caCertPath del archivo de configuración del clúster de administrador y de los archivos de configuración del clúster de usuario de Google Distributed Cloud.

Puedes actualizar las referencias de los certificados con el comando gkectl update, tal como se describe en este artículo.

Actualizar el certificado de AC de vCenter al que se hace referencia en los archivos de configuración del clúster

Para actualizar los clústeres de administrador y de usuario en ejecución para que usen el nuevo certificado, sigue estos pasos:

1. Obtén el nuevo certificado de AC de vCenter y extráelo:

   curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
   unzip certs.zip
   

   Puedes usar la marca -k si quieres permitir certificados desconocidos. De esta forma, evitarás problemas con los certificados al acceder a vCenter.

2. Determina cuál de los certificados de vCenter es válido. Solo uno de los archivos de certificado de Linux de la carpeta ..../certs/lin extraída es el certificado de vCenter válido. Para determinar qué archivo es el certificado de vCenter válido, haz lo siguiente:

   1. Define las siguientes variables de entorno en la estación de trabajo de administrador en la que ya esté instalado govc. Si aún no lo has hecho, descarga e instala la herramienta govc:

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
      export GOVC_USERNAME=VCENTER_USERNAME
      export GOVC_PASSWORD=VCENTER_PASSWORD
      export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
      export GOVC_INSECURE=false
      

      Haz los cambios siguientes:

      • VCENTER_IP_ADDRESS_OR_FQDN: la dirección IP o el FQDN del servidor de vCenter.

      • VCENTER_USERNAME: nombre de usuario de vCenter Server.

      • VCENTER_PASSWORD: la contraseña del nombre de usuario especificado.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: la ruta completa al archivo de certificado de Linux para el que vas a realizar una prueba de validez.

   2. Para comprobar que el certificado de vCenter es válido, ejecuta el comando govc about:

      govc about
      

      Si el certificado de vCenter es válido, el comando govc about muestra detalles sobre vCenter Server similares a los siguientes:

      FullName: VMware Center Server 7.0.3 build-24322018
      Name: VMware Center Server
      Vendor: VMware, Inc.
      Version: 7.0.3
      Build: 24322018
      OS type: linux-x64
      API type: VirtualCenter
      API version: 7.0.3.0
      Product ID: vpx
      UUID: 475fa366-faa9-43f0-9417-e6dadc55514c
      

      Si el certificado no es válido, debería aparecer un error x509. Si aparece un error de x509, actualiza la variable de entorno FULL_PATH_OF_EXTRACTED_LIN_FILE para que apunte a otro archivo de certificado de Linux en la carpeta ..../certs/lin extraída y, a continuación, vuelve a ejecutar el comando govc about. Repite los pasos a y b hasta que encuentres el certificado válido o hasta que hayas terminado de probar todos los archivos de certificado de Linux de la carpeta ..../certs/lin extraída.

3. Para crear una copia de seguridad del archivo de certificado de CA de vCenter antiguo (que se encuentra en la ruta especificada en el campo vCenter.caCertPath de tu archivo de configuración de clúster de administrador), cambia su nombre a vcenter-ca-cert.pem.old.

4. Cambia el nombre del nuevo archivo de certificado válido en la carpeta ..../certs/lin a vcenter-ca-cert.pem y, a continuación, muévelo a la ruta especificada en el campo vCenter.caCertPath de tu archivo de configuración del clúster de administrador.

5. Si has creado tu estación de trabajo de administrador con gkeadm, asegúrate de que la ruta de vCenter.caCertPath del archivo de configuración de la estación de trabajo de administrador sea la misma que la del archivo de configuración del clúster de administrador.

6. Actualiza tu clúster de administrador:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   Haz los cambios siguientes:

   • ADMIN_CLUSTER_CONFIG: la ruta del archivo de configuración del clúster de administrador.

   Una vez que se haya completado el comando de actualización, el clúster de administrador usará el nuevo certificado.

7. Verifica que el clúster de administrador esté en buen estado:

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   Para obtener más información, consulta Diagnosticar un clúster de administrador.

8. En cada uno de los archivos de configuración de clúster de usuarios, asigna a vCenter.caCertPath la ruta de tu nuevo archivo vcenter-ca-cert.pem.

9. En cada uno de tus clústeres de usuario, ejecuta el comando gkectl update:

   gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

   Haz los cambios siguientes:

   • USER_CLUSTER_CONFIG: la ruta del archivo de configuración de tu clúster de usuarios.

   Una vez que se haya completado el comando de actualización de un clúster de usuarios concreto, el clúster usará el nuevo certificado.

10. Verifica que el clúster de usuario esté en buen estado:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --cluster-name USER_CLUSTER_NAME
    

    Para obtener más información, consulta Diagnosticar un clúster de usuario.