Memperbarui referensi sertifikat CA vCenter

Halaman ini menjelaskan cara memperbarui referensi ke sertifikat CA vCenter jika telah berubah, karena cluster admin dan cluster pengguna yang sedang berjalan harus diberi tahu tentang perubahan tersebut. Hal ini memengaruhi kolom vCenter.caCertPath dalam file konfigurasi cluster admin dan file konfigurasi cluster pengguna untuk Google Distributed Cloud.

Anda dapat memperbarui referensi sertifikat dengan perintah gkectl update seperti yang dijelaskan di sini.

Perbarui sertifikat CA vCenter yang dirujuk dalam file konfigurasi cluster

Untuk mengupdate cluster admin dan pengguna yang sedang berjalan agar menggunakan sertifikat baru:

1. Ambil sertifikat CA vCenter baru dan ekstrak:

   curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
   unzip certs.zip
   

   Anda dapat menggunakan flag -k jika ingin mengizinkan sertifikat yang tidak dikenal. Hal ini dilakukan untuk menghindari masalah sertifikat yang mungkin Anda alami saat mengakses vCenter.

2. Tentukan sertifikat vCenter mana yang valid. Hanya salah satu file sertifikat Linux di folder ..../certs/lin yang diekstrak yang merupakan sertifikat vCenter yang valid. Untuk menentukan file mana yang merupakan sertifikat vCenter yang valid, lakukan langkah-langkah berikut:

   1. Tetapkan variabel lingkungan berikut dari Workstation Admin tempat govc sudah diinstal. Jika belum dilakukan, download dan instal alat govc:

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
      export GOVC_USERNAME=VCENTER_USERNAME
      export GOVC_PASSWORD=VCENTER_PASSWORD
      export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
      export GOVC_INSECURE=false
      

      Ganti kode berikut:

      • VCENTER_IP_ADDRESS_OR_FQDN: alamat IP atau FQDN vCenter Server.

      • VCENTER_USERNAME: nama pengguna vCenter Server.

      • VCENTER_PASSWORD: sandi untuk nama pengguna yang ditentukan.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: jalur lengkap ke file sertifikat Linux yang validitasnya akan Anda uji.

   2. Untuk memverifikasi bahwa sertifikat vCenter valid, jalankan perintah govc about:

      govc about
      

      Jika sertifikat vCenter valid, perintah govc about akan mencetak detail tentang Server vCenter yang mirip dengan berikut ini:

      FullName: VMware Center Server 7.0.3 build-24322018
      Name: VMware Center Server
      Vendor: VMware, Inc.
      Version: 7.0.3
      Build: 24322018
      OS type: linux-x64
      API type: VirtualCenter
      API version: 7.0.3.0
      Product ID: vpx
      UUID: 475fa366-faa9-43f0-9417-e6dadc55514c
      

      Jika sertifikat tidak valid, Anda akan melihat error x509. Jika Anda melihat error x509, perbarui variabel lingkungan FULL_PATH_OF_EXTRACTED_LIN_FILE agar mengarah ke file sertifikat Linux yang berbeda di folder ..../certs/lin yang diekstrak, lalu jalankan perintah govc about lagi. Ulangi langkah a. dan b. hingga Anda menemukan sertifikat yang valid, atau hingga Anda selesai menguji setiap file sertifikat Linux di folder ..../certs/lin yang diekstrak.

3. Untuk mencadangkan file sertifikat CA vCenter lama (yang berada di jalur yang ditentukan dalam kolom vCenter.caCertPath file konfigurasi cluster admin Anda), ganti namanya menjadi vcenter-ca-cert.pem.old.

4. Ganti nama file sertifikat baru yang valid di folder ..../certs/lin menjadi vcenter-ca-cert.pem, lalu pindahkan ke jalur yang ditentukan di kolom vCenter.caCertPath file konfigurasi cluster admin Anda.

5. Jika Anda membuat workstation admin dengan gkeadm, pastikan vCenter.caCertPath dalam file konfigurasi workstation admin memiliki jalur yang sama dengan file konfigurasi cluster admin.

6. Perbarui cluster admin Anda:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   Ganti kode berikut:

   • ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin Anda.

   Setelah perintah update selesai, cluster admin akan menggunakan sertifikat baru.

7. Pastikan cluster admin dalam kondisi baik:

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   Untuk mengetahui informasi selengkapnya, lihat Mendiagnosis cluster admin.

8. Di setiap file konfigurasi cluster pengguna, tetapkan vCenter.caCertPath ke jalur file vcenter-ca-cert.pem baru Anda.

9. Untuk setiap cluster pengguna, jalankan perintah gkectl update:

   gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

   Ganti kode berikut:

   • USER_CLUSTER_CONFIG: jalur file konfigurasi cluster pengguna Anda.

   Setelah perintah update selesai untuk cluster pengguna tertentu, cluster akan menggunakan sertifikat baru.

10. Pastikan cluster pengguna berfungsi dengan baik:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --cluster-name USER_CLUSTER_NAME
    

    Untuk mengetahui informasi selengkapnya, lihat Mendiagnosis cluster pengguna.