更新 vCenter CA 憑證參照

如果 vCenter CA 憑證已變更，這個頁面說明如何更新參照，因為執行中的管理員叢集和使用者叢集必須得知這項變更。這會影響管理員叢集設定檔中的 vCenter.caCertPath 欄位，以及 Google Distributed Cloud 的使用者叢集設定檔。

如要更新憑證參照，請按照本文說明使用 gkectl update 指令。

更新叢集設定檔中參照的 vCenter CA 憑證

如要更新執行中的管理員和使用者叢集，以使用新憑證，請按照下列步驟操作：

1. 擷取並解壓縮新的 vCenter CA 憑證：

   curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
   unzip certs.zip
   

   如要允許不明憑證，可以使用 -k 標記。以免存取 vCenter 時發生憑證問題。

2. 判斷哪個 vCenter 憑證有效。在解壓縮的 ..../certs/lin 資料夾中，只有一個 Linux 憑證檔案是有效的 vCenter 憑證。如要判斷哪個檔案是有效的 vCenter 憑證，請按照下列步驟操作：

   1. 在已安裝 govc 的管理工作站中，設定下列環境變數。如果尚未完成，請下載並安裝 govc 工具：

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
      export GOVC_USERNAME=VCENTER_USERNAME
      export GOVC_PASSWORD=VCENTER_PASSWORD
      export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
      export GOVC_INSECURE=false
      

      更改下列內容：

      • VCENTER_IP_ADDRESS_OR_FQDN：vCenter Server 的 IP 位址或 FQDN。

      • VCENTER_USERNAME：vCenter Server 的使用者名稱。

      • VCENTER_PASSWORD：指定使用者名稱的密碼。

      • FULL_PATH_OF_EXTRACTED_LIN_FILE：您要進行有效性測試的 Linux 憑證檔案完整路徑。

   2. 如要確認 vCenter 憑證是否有效，請執行 govc about 指令：

      govc about
      

      如果 vCenter 憑證有效，govc about 指令會列印 vCenter Server 的詳細資料，類似於下列內容：

      FullName: VMware Center Server 7.0.3 build-24322018
      Name: VMware Center Server
      Vendor: VMware, Inc.
      Version: 7.0.3
      Build: 24322018
      OS type: linux-x64
      API type: VirtualCenter
      API version: 7.0.3.0
      Product ID: vpx
      UUID: 475fa366-faa9-43f0-9417-e6dadc55514c
      

      如果憑證無效，您應該會看到 x509 錯誤。如果看到 x509 錯誤，請更新 FULL_PATH_OF_EXTRACTED_LIN_FILE 環境變數，指向解壓縮 ..../certs/lin 資料夾中的其他 Linux 憑證檔案，然後再次執行 govc about 指令。重複步驟 a 和 b，直到找到有效憑證，或測試完解壓縮 ..../certs/lin 資料夾中的每個 Linux 憑證檔案為止。

3. 如要備份舊的 vCenter CA 憑證檔案 (位於管理員叢集設定檔 vCenter.caCertPath 欄位中指定的路徑)，請將其重新命名為 vcenter-ca-cert.pem.old。

4. 將 ..../certs/lin 資料夾中新的有效憑證檔案重新命名為 vcenter-ca-cert.pem，然後移至管理員叢集設定檔的 vCenter.caCertPath 欄位中指定的路徑。

5. 更新管理員叢集：

   gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   更改下列內容：

   • ADMIN_CLUSTER_CONFIG：管理員叢集設定檔的路徑。

   更新指令完成後，管理員叢集就會使用新憑證。

6. 確認管理員叢集健康狀態良好：

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   詳情請參閱「診斷管理員叢集」。

7. 在每個使用者叢集設定檔中，將 vCenter.caCertPath 設為新 vcenter-ca-cert.pem 檔案的路徑。

8. 針對每個使用者叢集，執行 gkectl update 指令：

   gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

   更改下列內容：

   • USER_CLUSTER_CONFIG：使用者叢集設定檔的路徑。

   特定使用者叢集的更新指令完成後，叢集就會使用新憑證。

9. 確認使用者叢集運作正常：

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
     --cluster-name USER_CLUSTER_NAME
   

   詳情請參閱「診斷使用者叢集」。