Memperbarui referensi sertifikat CA vCenter

Halaman ini menjelaskan cara memperbarui referensi ke sertifikat CA vCenter jika telah berubah, karena cluster admin dan cluster pengguna yang sedang berjalan harus diberi tahu tentang perubahan tersebut. Hal ini memengaruhi kolom vCenter.caCertPath dalam file konfigurasi cluster admin dan file konfigurasi cluster pengguna untuk Google Distributed Cloud.

Anda dapat memperbarui referensi sertifikat dengan perintah gkectl update seperti yang dijelaskan di sini.

Perbarui sertifikat CA vCenter yang dirujuk dalam file konfigurasi cluster

Untuk mengupdate cluster admin dan pengguna yang sedang berjalan agar menggunakan sertifikat baru:

  1. Ambil sertifikat CA vCenter baru dan ekstrak:

    curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
unzip certs.zip

    Anda dapat menggunakan flag -k jika ingin mengizinkan sertifikat yang tidak dikenal. Hal ini dilakukan untuk menghindari masalah sertifikat yang mungkin Anda alami saat mengakses vCenter.

  2. Tentukan sertifikat vCenter mana yang valid. Hanya salah satu file sertifikat Linux di folder ..../certs/lin yang diekstrak yang merupakan sertifikat vCenter yang valid. Untuk menentukan file mana yang merupakan sertifikat vCenter yang valid, lakukan langkah-langkah berikut:

    1. Tetapkan variabel lingkungan berikut dari Workstation Admin tempat govc sudah diinstal. Jika belum dilakukan, download dan instal alat govc: 

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
export GOVC_USERNAME=VCENTER_USERNAME
export GOVC_PASSWORD=VCENTER_PASSWORD
export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
export GOVC_INSECURE=false

      Ganti kode berikut:

      • VCENTER_IP_ADDRESS_OR_FQDN: alamat IP atau FQDN vCenter Server.

      • VCENTER_USERNAME: nama pengguna vCenter Server.

      • VCENTER_PASSWORD: sandi untuk nama pengguna yang ditentukan.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: jalur lengkap ke file sertifikat Linux yang validitasnya akan Anda uji.

    2. Untuk memverifikasi bahwa sertifikat vCenter valid, jalankan perintah govc about:

      govc about

      Jika sertifikat vCenter valid, perintah govc about akan mencetak detail tentang Server vCenter yang mirip dengan berikut ini: 

      FullName: VMware Center Server 7.0.3 build-24322018
Name: VMware Center Server
Vendor: VMware, Inc.
Version: 7.0.3
Build: 24322018
OS type: linux-x64
API type: VirtualCenter
API version: 7.0.3.0
Product ID: vpx
UUID: 475fa366-faa9-43f0-9417-e6dadc55514c

      Jika sertifikat tidak valid, Anda akan melihat error x509. Jika Anda melihat error x509, perbarui variabel lingkungan FULL_PATH_OF_EXTRACTED_LIN_FILE agar mengarah ke file sertifikat Linux yang berbeda di folder ..../certs/lin yang diekstrak, lalu jalankan perintah govc about lagi. Ulangi langkah a. dan b. hingga Anda menemukan sertifikat yang valid, atau hingga Anda selesai menguji setiap file sertifikat Linux di folder ..../certs/lin yang diekstrak.

  3. Untuk mencadangkan file sertifikat CA vCenter lama (yang berada di jalur yang ditentukan dalam kolom vCenter.caCertPath file konfigurasi cluster admin Anda), ganti namanya menjadi vcenter-ca-cert.pem.old.

  4. Ganti nama file sertifikat valid baru di folder ..../certs/lin menjadi vcenter-ca-cert.pem, lalu pindahkan ke jalur yang ditentukan di kolom vCenter.caCertPath pada file konfigurasi cluster admin Anda.

  5. Perbarui cluster admin Anda:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Ganti kode berikut:

    • ADMIN_CLUSTER_CONFIG: jalur file konfigurasi cluster admin Anda.

    Setelah perintah update selesai, cluster admin akan menggunakan sertifikat baru.

  6. Pastikan cluster admin dalam kondisi baik:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Untuk mengetahui informasi selengkapnya, lihat Mendiagnosis cluster admin.

  7. Di setiap file konfigurasi cluster pengguna, tetapkan vCenter.caCertPath ke jalur file vcenter-ca-cert.pem baru Anda.

  8. Untuk setiap cluster pengguna, jalankan perintah gkectl update: 

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Ganti kode berikut:

    • USER_CLUSTER_CONFIG: jalur file konfigurasi cluster pengguna Anda.

    Setelah perintah update selesai untuk cluster pengguna tertentu, cluster akan menggunakan sertifikat baru.

  9. Pastikan cluster pengguna berfungsi dengan baik:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --cluster-name USER_CLUSTER_NAME

    Untuk mengetahui informasi selengkapnya, lihat Mendiagnosis cluster pengguna.