Mettre à jour les références de certificat CA vCenter

Cette page explique comment mettre à jour la référence au certificat CA vCenter si celui-ci a changé, car votre cluster d'administrateur et vos clusters d'utilisateur en cours d'exécution doivent être informés de la modification. Cela affecte le champ vCenter.caCertPath dans le fichier de configuration du cluster d'administrateur et les fichiers de configuration du cluster d'utilisateur pour Google Distributed Cloud.

Vous pouvez mettre à jour les références de certificats avec la commande gkectl update comme décrit ici.

Mettre à jour le certificat CA vCenter référencé dans les fichiers de configuration du cluster

Pour mettre à jour les clusters d'administrateur et d'utilisateur en cours d'exécution afin qu'ils utilisent le nouveau certificat, procédez comme suit :

  1. Récupérez le nouveau certificat CA vCenter et extrayez-le :

    curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
unzip certs.zip

    Vous pouvez utiliser l'option -k si vous souhaitez autoriser les certificats inconnus. Cela permet d'éviter tout problème de certificat que vous pourriez rencontrer en accédant à vCenter.

  2. Déterminez lequel des certificats vCenter est valide. Seul l'un des fichiers de certificat Linux du dossier ..../certs/lin extrait est un certificat vCenter valide. Pour déterminer quel fichier est le certificat vCenter valide, procédez comme suit :

    1. Définissez les variables d'environnement suivantes à partir du poste de travail administrateur sur lequel govc est déjà installé. Si vous ne l'avez pas encore fait, téléchargez et installez l'outil govc : 

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
export GOVC_USERNAME=VCENTER_USERNAME
export GOVC_PASSWORD=VCENTER_PASSWORD
export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
export GOVC_INSECURE=false

      Remplacez les éléments suivants :

      • VCENTER_IP_ADDRESS_OR_FQDN : adresse IP ou nom de domaine complet du serveur vCenter.

      • VCENTER_USERNAME : nom d'utilisateur du serveur vCenter.

      • VCENTER_PASSWORD : mot de passe du nom d'utilisateur spécifié.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE : chemin d'accès complet au fichier de certificat Linux pour lequel vous effectuez un test de validité.

    2. Pour vérifier que le certificat vCenter est valide, exécutez la commande govc about :

      govc about

      Si le certificat vCenter est valide, la commande govc about affiche des informations sur le serveur vCenter semblables à celles-ci : 

      FullName: VMware Center Server 7.0.3 build-24322018
Name: VMware Center Server
Vendor: VMware, Inc.
Version: 7.0.3
Build: 24322018
OS type: linux-x64
API type: VirtualCenter
API version: 7.0.3.0
Product ID: vpx
UUID: 475fa366-faa9-43f0-9417-e6dadc55514c

      Si le certificat n'est pas valide, l'erreur x509 s'affiche. Si l'erreur x509 s'affiche, mettez à jour la variable d'environnement FULL_PATH_OF_EXTRACTED_LIN_FILE pour qu'elle pointe vers un autre fichier de certificat Linux dans le dossier ..../certs/lin extrait, puis exécutez à nouveau la commande govc about. Répétez les étapes a et b jusqu'à ce que vous trouviez le certificat valide ou jusqu'à ce que vous ayez testé chacun des fichiers de certificat Linux dans le dossier ..../certs/lin extrait.

  3. Pour sauvegarder l'ancien fichier de certificat CA vCenter (qui se trouve au chemin d'accès spécifié dans le champ vCenter.caCertPath de votre fichier de configuration de cluster d'administrateur), renommez-le en vcenter-ca-cert.pem.old.

  4. Renommez le nouveau fichier de certificat valide dans le dossier ..../certs/lin en vcenter-ca-cert.pem, puis déplacez-le vers le chemin d'accès spécifié dans le champ vCenter.caCertPath de votre fichier de configuration du cluster d'administrateur.

  5. Mettez à jour votre cluster d'administrateur :

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Remplacez les éléments suivants :

    • ADMIN_CLUSTER_CONFIG : chemin d'accès au fichier de configuration du cluster d'administrateur.

    Une fois la commande de mise à jour exécutée, le cluster d'administrateur utilise le nouveau certificat.

  6. Vérifiez que le cluster d'administrateur est opérationnel :

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Pour en savoir plus, consultez Diagnostiquer un cluster d'administrateur.

  7. Dans chacun des fichiers de configuration de votre cluster d'utilisateur, définissez vCenter.caCertPath sur le chemin d'accès du nouveau fichier vcenter-ca-cert.pem.

  8. Pour chacun de vos clusters d'utilisateur, exécutez la commande gkectl update : 

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Remplacez les éléments suivants :

    • USER_CLUSTER_CONFIG : chemin d'accès au fichier de configuration du cluster d'utilisateur

    Une fois la commande de mise à jour exécutée pour un cluster d'utilisateur spécifique, le cluster utilise le nouveau certificat.

  9. Vérifiez que le cluster d'utilisateur est opérationnel :

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --cluster-name USER_CLUSTER_NAME

    Pour en savoir plus, consultez Diagnostiquer un cluster d'utilisateur.