vCenter CA 証明書の参照を更新する

このページでは、vCenter CA 証明書への参照が変更された場合に、実行中の管理クラスタとユーザー クラスタにその変更を通知するために、vCenter CA 証明書への参照を更新する方法について説明します。これは、Google Distributed Cloud の管理クラスタ構成ファイルとユーザー クラスタ構成ファイルの vCenter.caCertPath フィールドに影響します。

ここで説明するように、gkectl update コマンドを使用して証明書の参照を更新できます。

クラスタ構成ファイルで参照されている vCenter CA 証明書を更新する

新しい証明書を使用するように、実行中の管理クラスタとユーザー クラスタを更新するには:

1. 新しい vCenter CA 証明書を取得して抽出します。

   curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
   unzip certs.zip
   

   不明な証明書を許可する場合は、-k フラグを使用します。これは、vCenter へのアクセスに関する証明書の問題を回避するためのものです。

2. どの vCenter 証明書が有効であるかを判断します。抽出された ..../certs/lin フォルダ内の Linux 証明書ファイルのうち、有効な vCenter 証明書は 1 つだけです。有効な vCenter 証明書であるファイルを特定する手順は次のとおりです。

   1. govc がすでにインストールされている管理ワークステーションから、次の環境変数を設定します。まだ行っていない場合は、govc ツールをダウンロードしてインストールします。

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
      export GOVC_USERNAME=VCENTER_USERNAME
      export GOVC_PASSWORD=VCENTER_PASSWORD
      export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
      export GOVC_INSECURE=false
      

      次のように置き換えます。

      • VCENTER_IP_ADDRESS_OR_FQDN: vCenter Server の IP アドレスまたは FQDN。

      • VCENTER_USERNAME: vCenter Server のユーザー名。

      • VCENTER_PASSWORD: 指定されたユーザー名のパスワード。

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: 有効性テストを実施する Linux 証明書ファイルのフルパス。

   2. vCenter 証明書が有効であることを確認するには、govc about コマンドを実行します。

      govc about
      

      vCenter 証明書が有効な場合、govc about コマンドは次のような vCenter Server の詳細を出力します。

      FullName: VMware Center Server 7.0.3 build-24322018
      Name: VMware Center Server
      Vendor: VMware, Inc.
      Version: 7.0.3
      Build: 24322018
      OS type: linux-x64
      API type: VirtualCenter
      API version: 7.0.3.0
      Product ID: vpx
      UUID: 475fa366-faa9-43f0-9417-e6dadc55514c
      

      証明書が無効な場合は、x509 エラーが表示されます。x509 エラーが表示された場合は、抽出された ..../certs/lin フォルダ内の別の Linux 証明書ファイルを指すように FULL_PATH_OF_EXTRACTED_LIN_FILE 環境変数を更新し、govc about コマンドを再度実行します。有効な証明書が見つかるまで、または抽出された ..../certs/lin フォルダ内の各 Linux 証明書ファイルのテストが完了するまで、手順 a と b を繰り返します。

3. 古い vCenter CA 証明書ファイル（管理クラスタ構成ファイルの vCenter.caCertPath フィールドで指定されたパスにある）をバックアップするには、ファイル名を vcenter-ca-cert.pem.old に変更します。

4. ..../certs/lin フォルダ内の新しい有効な証明書ファイルの名前を vcenter-ca-cert.pem に変更し、管理クラスタ構成ファイルの vCenter.caCertPath フィールドで指定されたパスに移動します。

5. 管理クラスタを更新します。

   gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   次のように置き換えます。

   • ADMIN_CLUSTER_CONFIG: 管理クラスタの構成ファイルのパス。

   update コマンドが完了すると、管理クラスタは新しい証明書を使用します。

6. 管理クラスタが正常であることを確認します。

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   詳細については、管理クラスタを診断するをご覧ください。

7. ユーザー クラスタの構成ファイルごとに、vCenter.caCertPath を新しい vcenter-ca-cert.pem ファイルのパスに設定します。

8. 各ユーザー クラスタで gkectl update コマンドを実行します。

   gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

   次のように置き換えます。

   • USER_CLUSTER_CONFIG: ユーザー クラスタの構成ファイルのパス。

   特定のユーザー クラスタの update コマンドが完了すると、クラスタは新しい証明書を使用します。

9. ユーザー クラスタが正常であることを確認します。

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
     --cluster-name USER_CLUSTER_NAME
   

   詳細については、ユーザー クラスタを診断するをご覧ください。