Actualiza las referencias del certificado de la CA de vCenter

En esta página, se describe cómo actualizar la referencia al certificado de la AC de vCenter si cambió, ya que los clústeres de administrador y de usuario en ejecución deben estar informados sobre el cambio. Esto afecta el campo vCenter.caCertPath en el archivo de configuración del clúster de administrador y los archivos de configuración del clúster de usuario para Google Distributed Cloud.

Puedes actualizar las referencias del certificado con el comando gkectl update como se describe aquí.

Actualiza el certificado de la AC de vCenter al que se hace referencia en los archivos de configuración del clúster

Para actualizar los clústeres de administrador y de usuario en ejecución a fin de usar el certificado nuevo, sigue estos pasos:

1. Recupera el nuevo certificado de la CA de vCenter y extráelo:

   curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
   unzip certs.zip
   

   Puedes usar la marca -k si deseas permitir certificados desconocidos. Esto sirve para evitar cualquier problema de certificado que tengas cuando accedas a vCenter.

2. Determina cuál de los certificados de vCenter es válido. Solo uno de los archivos de certificado de Linux en la carpeta ..../certs/lin extraída es el certificado de vCenter válido. Para determinar qué archivo es el certificado de vCenter válido, haz lo siguiente:

   1. Configura las siguientes variables de entorno desde la estación de trabajo de administrador en la que ya está instalado govc. Si aún no lo hiciste, descarga e instala la herramienta govc:

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
      export GOVC_USERNAME=VCENTER_USERNAME
      export GOVC_PASSWORD=VCENTER_PASSWORD
      export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
      export GOVC_INSECURE=false
      

      Reemplaza lo siguiente:

      • VCENTER_IP_ADDRESS_OR_FQDN: Es la dirección IP o el FQDN del servidor de vCenter.

      • VCENTER_USERNAME: Es el nombre de usuario del servidor de vCenter.

      • VCENTER_PASSWORD: La contraseña del nombre de usuario especificado.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: Es la ruta de acceso completa al archivo del certificado de Linux para el que realizas una prueba de validez.

   2. Para verificar que el certificado de vCenter sea válido, ejecuta el comando govc about:

      govc about
      

      Si el certificado de vCenter es válido, el comando govc about imprime detalles sobre vCenter Server similares a los siguientes:

      FullName: VMware Center Server 7.0.3 build-24322018
      Name: VMware Center Server
      Vendor: VMware, Inc.
      Version: 7.0.3
      Build: 24322018
      OS type: linux-x64
      API type: VirtualCenter
      API version: 7.0.3.0
      Product ID: vpx
      UUID: 475fa366-faa9-43f0-9417-e6dadc55514c
      

      Si el certificado no es válido, deberías ver un error x509. Si ves un error de x509, actualiza la variable de entorno FULL_PATH_OF_EXTRACTED_LIN_FILE para que apunte a un archivo de certificado de Linux diferente en la carpeta ..../certs/lin extraída y, luego, vuelve a ejecutar el comando govc about. Repite los pasos a y b hasta que encuentres el certificado válido o hasta que termines de probar cada uno de los archivos de certificado de Linux en la carpeta ..../certs/lin extraída.

3. Para crear una copia de seguridad del archivo del certificado de la AC de vCenter anterior (que se encuentra en la ruta de acceso especificada en el campo vCenter.caCertPath de tu archivo de configuración del clúster de administrador), cámbiale el nombre a vcenter-ca-cert.pem.old.

4. Cambia el nombre del nuevo archivo de certificado válido en la carpeta ..../certs/lin a vcenter-ca-cert.pem y, luego, muévelo a la ruta de acceso especificada en el campo vCenter.caCertPath de tu archivo de configuración del clúster de administrador.

5. Si creaste tu estación de trabajo de administrador con gkeadm, asegúrate de que vCenter.caCertPath en el archivo de configuración de la estación de trabajo de administrador tenga la misma ruta de acceso que el archivo de configuración del clúster de administrador.

6. Actualiza tu clúster de administrador:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   Reemplaza lo siguiente:

   • ADMIN_CLUSTER_CONFIG: Es la ruta de acceso al archivo de configuración del clúster de administrador.

   Una vez que se complete el comando de actualización, el clúster de administrador usará el certificado nuevo.

7. Verifica que el clúster de administrador esté en buen estado:

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   Para obtener más información, consulta Diagnostica un clúster de administrador.

8. En cada uno de los archivos de configuración del clúster de usuario, configura vCenter.caCertPath como la ruta de acceso del archivo vcenter-ca-cert.pem nuevo.

9. Para cada uno de tus clústeres de usuario, ejecuta el comando gkectl update:

   gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

   Reemplaza lo siguiente:

   • USER_CLUSTER_CONFIG: Es la ruta de acceso del archivo de configuración del clúster de usuario.

   Una vez que se complete el comando de actualización para un clúster de usuario en particular, el clúster usará el certificado nuevo.

10. Verifica que el clúster de usuario esté en buen estado:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --cluster-name USER_CLUSTER_NAME
    

    Para obtener más información, consulta Diagnostica un clúster de usuario.