更新 vCenter CA 憑證參照

如果 vCenter CA 憑證已變更,這個頁面說明如何更新參照,因為執行中的管理員叢集和使用者叢集必須得知這項變更。這會影響管理員叢集設定檔中的 vCenter.caCertPath 欄位,以及 Google Distributed Cloud 的使用者叢集設定檔。

如要更新憑證參照,請按照本文說明使用 gkectl update 指令。

更新叢集設定檔中參照的 vCenter CA 憑證

如要更新執行中的管理員和使用者叢集,以使用新憑證,請按照下列步驟操作:

  1. 擷取並解壓縮新的 vCenter CA 憑證:

    curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
    unzip certs.zip
    

    如要允許不明憑證,可以使用 -k 標記。以免存取 vCenter 時發生憑證問題。

  2. 判斷哪個 vCenter 憑證有效。在解壓縮的 ..../certs/lin 資料夾中,只有一個 Linux 憑證檔案是有效的 vCenter 憑證。如要判斷哪個檔案是有效的 vCenter 憑證,請按照下列步驟操作:

    1. 在已安裝 govc 的管理工作站中,設定下列環境變數。如果尚未完成,請下載並安裝 govc 工具

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
      export GOVC_USERNAME=VCENTER_USERNAME
      export GOVC_PASSWORD=VCENTER_PASSWORD
      export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
      export GOVC_INSECURE=false
      

      更改下列內容:

      • VCENTER_IP_ADDRESS_OR_FQDN:vCenter Server 的 IP 位址或 FQDN。

      • VCENTER_USERNAME:vCenter Server 的使用者名稱。

      • VCENTER_PASSWORD:指定使用者名稱的密碼。

      • FULL_PATH_OF_EXTRACTED_LIN_FILE:您要進行有效性測試的 Linux 憑證檔案完整路徑。

    2. 如要確認 vCenter 憑證是否有效,請執行 govc about 指令:

      govc about
      

      如果 vCenter 憑證有效,govc about 指令會列印 vCenter Server 的詳細資料,類似於下列內容:

      FullName: VMware Center Server 7.0.3 build-24322018
      Name: VMware Center Server
      Vendor: VMware, Inc.
      Version: 7.0.3
      Build: 24322018
      OS type: linux-x64
      API type: VirtualCenter
      API version: 7.0.3.0
      Product ID: vpx
      UUID: 475fa366-faa9-43f0-9417-e6dadc55514c
      

      如果憑證無效,您應該會看到 x509 錯誤。如果看到 x509 錯誤,請更新 FULL_PATH_OF_EXTRACTED_LIN_FILE 環境變數,指向解壓縮 ..../certs/lin 資料夾中的其他 Linux 憑證檔案,然後再次執行 govc about 指令。重複步驟 a 和 b,直到找到有效憑證,或測試完解壓縮 ..../certs/lin 資料夾中的每個 Linux 憑證檔案為止。

  3. 如要備份舊的 vCenter CA 憑證檔案 (位於管理員叢集設定檔 vCenter.caCertPath 欄位中指定的路徑),請將其重新命名為 vcenter-ca-cert.pem.old

  4. ..../certs/lin 資料夾中新的有效憑證檔案重新命名為 vcenter-ca-cert.pem,然後移至管理員叢集設定檔的 vCenter.caCertPath 欄位中指定的路徑。

  5. 更新管理員叢集:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

    更改下列內容:

    • ADMIN_CLUSTER_CONFIG:管理員叢集設定檔的路徑。

    更新指令完成後,管理員叢集就會使用新憑證。

  6. 確認管理員叢集健康狀態良好:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
    

    詳情請參閱「診斷管理員叢集」。

  7. 在每個使用者叢集設定檔中,將 vCenter.caCertPath 設為新 vcenter-ca-cert.pem 檔案的路徑。

  8. 針對每個使用者叢集,執行 gkectl update 指令:

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    更改下列內容:

    • USER_CLUSTER_CONFIG:使用者叢集設定檔的路徑。

    特定使用者叢集的更新指令完成後,叢集就會使用新憑證。

  9. 確認使用者叢集運作正常:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --cluster-name USER_CLUSTER_NAME
    

    詳情請參閱「診斷使用者叢集」。