vCenter CA 인증서 참조 업데이트

이 페이지에서는 실행 중인 관리자 클러스터와 사용자 클러스터에 변경사항을 알려야 하므로 vCenter CA 인증서가 변경된 경우 이에 대한 참조를 업데이트하는 방법을 설명합니다. 이는 관리자 클러스터 구성 파일의 vCenter.caCertPath 필드 및 Google Distributed Cloud의 사용자 클러스터 구성 파일에 영향을 줍니다.

여기에 설명된 대로 gkectl update 명령어를 사용하여 인증서 참조를 업데이트할 수 있습니다.

클러스터 구성 파일에서 참조된 vCenter CA 인증서 업데이트

새 인증서를 사용하도록 실행 중인 관리자 클러스터와 사용자 클러스터를 업데이트하려면 다음을 수행하세요.

1. 새 CA vCenter 인증서를 가져와서 추출합니다.

   curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
   unzip certs.zip
   

   알 수 없는 인증서를 허용하려면 -k 플래그를 사용하면 됩니다. 이는 vCenter에 액세스할 때 발생할 수 있는 인증서 문제를 방지하기 위한 것입니다.

2. 어떤 vCenter 인증서가 유효한지 확인합니다. 추출된 ..../certs/lin 폴더에 있는 Linux 인증서 파일 중 하나만 유효한 vCenter 인증서입니다. 유효한 vCenter 인증서가 어떤 파일인지 확인하려면 다음 단계를 따르세요.

   1. govc가 설치된 관리자 워크스테이션에서 다음 환경 변수를 설정합니다. 아직 작업을 수행하지 않았다면 govc 도구를 다운로드하여 설치합니다.

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
      export GOVC_USERNAME=VCENTER_USERNAME
      export GOVC_PASSWORD=VCENTER_PASSWORD
      export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
      export GOVC_INSECURE=false
      

      다음을 바꿉니다.

      • VCENTER_IP_ADDRESS_OR_FQDN: vCenter Server의 IP 주소 또는 FQDN입니다.

      • VCENTER_USERNAME: vCenter Server의 사용자 이름입니다.

      • VCENTER_PASSWORD: 지정된 사용자 이름의 비밀번호입니다.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: 유효성 테스트를 수행할 Linux 인증서 파일의 전체 경로입니다.

   2. vCenter 인증서가 유효한지 확인하려면 govc about 명령어를 실행합니다.

      govc about
      

      vCenter 인증서가 유효하면 govc about 명령어로 다음과 유사한 vCenter Server 관련 세부정보가 출력됩니다.

      FullName: VMware Center Server 7.0.3 build-24322018
      Name: VMware Center Server
      Vendor: VMware, Inc.
      Version: 7.0.3
      Build: 24322018
      OS type: linux-x64
      API type: VirtualCenter
      API version: 7.0.3.0
      Product ID: vpx
      UUID: 475fa366-faa9-43f0-9417-e6dadc55514c
      

      인증서가 유효하지 않으면 x509 오류가 표시됩니다. x509 오류가 표시되면 추출된 ..../certs/lin 폴더의 다른 Linux 인증서 파일을 가리키도록 FULL_PATH_OF_EXTRACTED_LIN_FILE 환경 변수를 업데이트한 후 govc about 명령어를 다시 실행합니다. 유효한 인증서를 찾을 때까지 또는 추출된 ..../certs/lin 폴더에 있는 각 Linux 인증서 파일 테스트를 완료할 때까지 a단계와 b단계를 반복합니다.

3. 관리자 클러스터 구성 파일의 vCenter.caCertPath 필드에 지정된 경로에 있는 이전 vCenter CA 인증서 파일을 백업하려면 이름을 vcenter-ca-cert.pem.old로 바꿉니다.

4. ..../certs/lin 폴더에 있는 유효한 새 인증서 파일의 이름을 vcenter-ca-cert.pem으로 바꾼 후 관리자 클러스터 구성 파일의 vCenter.caCertPath 필드에 지정된 경로로 이동합니다.

5. 관리자 클러스터를 업데이트합니다.

   gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   다음을 바꿉니다.

   • ADMIN_CLUSTER_CONFIG: 관리자 클러스터 구성 파일의 경로입니다.

   업데이트 명령어가 완료되면 관리자 클러스터에 새 인증서가 사용됩니다.

6. 관리자 클러스터가 정상인지 확인합니다.

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   자세한 내용은 관리자 클러스터 진단을 참조하세요.

7. 각 사용자 클러스터 구성 파일에서 vCenter.caCertPath를 새 vcenter-ca-cert.pem 파일의 경로로 설정합니다.

8. 각 사용자 클러스터에 대해 gkectl update 명령어를 실행합니다.

   gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

   다음을 바꿉니다.

   • USER_CLUSTER_CONFIG: 사용자 클러스터 구성 파일의 경로입니다.

   특정 사용자 클러스터에 대해 update 명령어가 완료되면 클러스터가 새 인증서를 사용합니다.

9. 사용자 클러스터가 정상인지 확인합니다.

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
     --cluster-name USER_CLUSTER_NAME
   

   자세한 내용은 사용자 클러스터 진단을 참조하세요.