Aggiorna i riferimenti al certificato CA vCenter

Questa pagina descrive come aggiornare il riferimento al certificato CA vCenter se è cambiato, poiché il cluster di amministrazione e i cluster utente in esecuzione devono essere informati della modifica. Ciò influisce sul campo vCenter.caCertPath nel file di configurazione del cluster di amministrazione e nei file di configurazione del cluster utente per Google Distributed Cloud.

Puoi aggiornare i riferimenti al certificato con il comando gkectl update come descritto qui.

Aggiorna il certificato CA vCenter a cui viene fatto riferimento nei file di configurazione del cluster

Per aggiornare i cluster di amministrazione e utente in esecuzione in modo che utilizzino il nuovo certificato:

  1. Recupera il nuovo certificato CA vCenter ed estrailo:

    curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
unzip certs.zip

    Puoi utilizzare il flag -k se vuoi consentire certificati sconosciuti. Questo serve a evitare eventuali problemi di certificato durante l'accesso a vCenter.

  2. Determina quale dei certificati vCenter è valido. Solo uno dei file di certificato Linux nella cartella ..../certs/lin estratta è il certificato vCenter valido. Per determinare quale file è il certificato vCenter valido, procedi nel seguente modo:

    1. Imposta le seguenti variabili di ambiente dalla workstation di amministrazione in cui è già installato govc. Se non l'hai ancora fatto, scarica e installa lo strumento govc: 

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
export GOVC_USERNAME=VCENTER_USERNAME
export GOVC_PASSWORD=VCENTER_PASSWORD
export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
export GOVC_INSECURE=false

      Sostituisci quanto segue:

      • VCENTER_IP_ADDRESS_OR_FQDN: l'indirizzo IP o il nome di dominio completo di vCenter Server.

      • VCENTER_USERNAME: il nome utente di vCenter Server.

      • VCENTER_PASSWORD: la password per il nome utente specificato.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: il percorso completo del file del certificato Linux per il quale stai eseguendo un test di validità.

    2. Per verificare che il certificato vCenter sia valido, esegui il comando govc about:

      govc about

      Se il certificato vCenter è valido, il comando govc about stampa i dettagli di vCenter Server simili ai seguenti: 

      FullName: VMware Center Server 7.0.3 build-24322018
Name: VMware Center Server
Vendor: VMware, Inc.
Version: 7.0.3
Build: 24322018
OS type: linux-x64
API type: VirtualCenter
API version: 7.0.3.0
Product ID: vpx
UUID: 475fa366-faa9-43f0-9417-e6dadc55514c

      Se il certificato non è valido, dovresti visualizzare un errore x509. Se viene visualizzato un errore x509, aggiorna la variabile di ambiente FULL_PATH_OF_EXTRACTED_LIN_FILE in modo che punti a un altro file di certificato Linux nella cartella ..../certs/lin estratta, quindi esegui di nuovo il comando govc about. Ripeti i passaggi a. e b. finché non trovi il certificato valido o finché non hai terminato di testare ciascuno dei file di certificato Linux nella cartella ..../certs/lin estratta.

  3. Per eseguire il backup del vecchio file del certificato CA vCenter (che si trova nel percorso specificato nel campo vCenter.caCertPath del file di configurazione del cluster di amministrazione), rinominalo in vcenter-ca-cert.pem.old.

  4. Rinomina il nuovo file di certificato valido nella cartella ..../certs/lin in vcenter-ca-cert.pem e spostalo nel percorso specificato nel campo vCenter.caCertPath del file di configurazione del cluster di amministrazione.

  5. Aggiorna il cluster di amministrazione:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Sostituisci quanto segue:

    • ADMIN_CLUSTER_CONFIG: il percorso del file di configurazione del cluster di amministrazione.

    Al termine del comando di aggiornamento, il cluster di amministrazione utilizzerà il nuovo certificato.

  6. Verifica che il cluster di amministrazione sia integro:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Per saperne di più, consulta Diagnosticare un cluster di amministrazione.

  7. In ogni file di configurazione del cluster utente, imposta vCenter.caCertPath sul percorso del nuovo file vcenter-ca-cert.pem.

  8. Per ogni cluster utente, esegui il comando gkectl update: 

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Sostituisci quanto segue:

    • USER_CLUSTER_CONFIG: il percorso del file di configurazione del cluster utente.

    Una volta completato il comando di aggiornamento per un determinato cluster utente, il cluster utilizzerà il nuovo certificato.

  9. Verifica che il cluster utente sia integro:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --cluster-name USER_CLUSTER_NAME

    Per saperne di più, consulta Diagnosticare un cluster di utenti.