Esta página foi traduzida pela API Cloud Translation.

Atualize as referências do certificado da AC do vCenter

Esta página descreve como atualizar a referência ao certificado da AC do vCenter se tiver sido alterado, uma vez que o cluster de administrador e os clusters de utilizadores em execução têm de ser informados da alteração. Isto afeta o campo vCenter.caCertPath no ficheiro de configuração do cluster de administrador e os ficheiros de configuração do cluster de utilizador para o Google Distributed Cloud.

Pode atualizar as referências de certificados com o comando gkectl update, conforme descrito aqui.

Atualize o certificado da AC do vCenter referenciado nos ficheiros de configuração do cluster

Para atualizar os clusters de administrador e de utilizador em execução para usar o novo certificado:

Obtenha o novo certificado da AC do vCenter e extraia-o:
```
curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
unzip certs.zip
```
Pode usar a flag -k se quiser permitir certificados desconhecidos. Isto destina-se a evitar problemas de certificados que possa ter ao aceder ao vCenter.
Determine qual dos certificados do vCenter é válido. Apenas um dos ficheiros de certificado do Linux na pasta ..../certs/lin extraída é o certificado do vCenter válido. Para determinar qual é o certificado do vCenter válido, faça o seguinte:
1. Defina as seguintes variáveis de ambiente a partir da estação de trabalho de administração onde o govc já está instalado. Se ainda não o fez, transfira e instale a ferramenta govc:
```
export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
export GOVC_USERNAME=VCENTER_USERNAME
export GOVC_PASSWORD=VCENTER_PASSWORD
export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
export GOVC_INSECURE=false
```
  Substitua o seguinte:
  - VCENTER_IP_ADDRESS_OR_FQDN: o endereço IP ou o FQDN do vCenter Server.
  - VCENTER_USERNAME: o nome de utilizador do vCenter Server.
  - VCENTER_PASSWORD: a palavra-passe para o nome de utilizador especificado.
  - FULL_PATH_OF_EXTRACTED_LIN_FILE: o caminho completo para o ficheiro de certificado do Linux para o qual está a realizar um teste de validade.
2. Para verificar se o certificado do vCenter é válido, execute o comando govc about:
```
govc about
```
  Se o certificado do vCenter for válido, o comando govc about imprime detalhes sobre o vCenter Server semelhantes aos seguintes:
```
FullName: VMware Center Server 7.0.3 build-24322018
Name: VMware Center Server
Vendor: VMware, Inc.
Version: 7.0.3
Build: 24322018
OS type: linux-x64
API type: VirtualCenter
API version: 7.0.3.0
Product ID: vpx
UUID: 475fa366-faa9-43f0-9417-e6dadc55514c
```
  Se o certificado for inválido, deve ver um erro x509. Se vir um erro x509, atualize a variável de ambiente FULL_PATH_OF_EXTRACTED_LIN_FILE para apontar para um ficheiro de certificado do Linux diferente na pasta ..../certs/lin extraída e, em seguida, execute novamente o comando govc about. Repita os passos a. e b. até localizar o certificado válido ou até terminar os testes de cada um dos ficheiros de certificado do Linux na pasta ..../certs/lin extraída.
Para fazer uma cópia de segurança do ficheiro do certificado da CA do vCenter antigo (que se encontra no caminho especificado no campo vCenter.caCertPath do ficheiro de configuração do cluster de administrador), mude-lhe o nome para vcenter-ca-cert.pem.old.
Mude o nome do novo ficheiro de certificado válido na pasta ..../certs/lin para vcenter-ca-cert.pem e, em seguida, mova-o para o caminho especificado no campo vCenter.caCertPath do ficheiro de configuração do cluster de administrador.
Se criou a estação de trabalho de administração com gkeadm, certifique-se de que o vCenter.caCertPath no ficheiro de configuração da estação de trabalho de administração tem o mesmo caminho que o ficheiro de configuração do cluster de administração.
Atualize o cluster de administrador:
```
gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
```
Substitua o seguinte:
- ADMIN_CLUSTER_CONFIG: o caminho do ficheiro de configuração do cluster de administrador.
Após a conclusão do comando de atualização, o cluster de administrador usa o novo certificado.
Verifique se o cluster de administrador está em bom estado:
```
gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
```
Para mais informações, consulte o artigo Diagnosticar um cluster de administrador.
Em cada um dos ficheiros de configuração do cluster de utilizadores, defina vCenter.caCertPath para o caminho do novo ficheiro vcenter-ca-cert.pem.
Para cada um dos seus clusters de utilizadores, execute o comando gkectl update:
```
gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
```
Substitua o seguinte:
- USER_CLUSTER_CONFIG: o caminho do ficheiro de configuração do cluster de utilizadores.
Depois de o comando de atualização ser concluído para um cluster de utilizadores específico, o cluster usa o novo certificado.
Verifique se o cluster de utilizadores está em bom estado:
```
gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --cluster-name USER_CLUSTER_NAME
```
Para mais informações, consulte o artigo Diagnosticar um cluster de utilizadores.