Atualizar referências de certificados de CA do vCenter

Nesta página, você verá como atualizar a referência ao certificado de CA do vCenter se ele tiver mudado, já que os clusters de administrador e de usuário em execução precisam ser informados sobre a mudança. Isso afeta o campo vCenter.caCertPath no arquivo de configuração do cluster de administrador e nos arquivos de configuração do cluster de usuário do Google Distributed Cloud.

É possível atualizar as referências de certificado com o comando gkectl update, conforme descrito aqui.

Atualizar o certificado de CA do vCenter referenciado nos arquivos de configuração do cluster

Para atualizar os clusters de administrador e usuário em execução para usar o novo certificado:

  1. Recupere e extraia o novo certificado da CA do vCenter:

    curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
unzip certs.zip

    Use o flag -k se quiser permitir certificados desconhecidos. Isso evita problemas de certificado que você possa ter com o vCenter.

  2. Determine qual dos certificados do vCenter é válido. Apenas um dos arquivos de certificado do Linux na pasta ..../certs/lin extraída é o certificado válido do vCenter. Para determinar qual arquivo é o certificado vCenter válido, faça o seguinte:

    1. Defina as seguintes variáveis de ambiente na estação de trabalho do administrador em que o govc já está instalado. Se ainda não tiver feito isso, faça o download e instale a ferramenta govc: 

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
export GOVC_USERNAME=VCENTER_USERNAME
export GOVC_PASSWORD=VCENTER_PASSWORD
export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
export GOVC_INSECURE=false

      Substitua:

      • VCENTER_IP_ADDRESS_OR_FQDN: o endereço IP ou FQDN do vCenter Server.

      • VCENTER_USERNAME: o nome de usuário do vCenter Server.

      • VCENTER_PASSWORD: a senha do nome de usuário especificado.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: o caminho completo para o arquivo de certificado do Linux em que você está realizando um teste de validade.

    2. Para verificar se o certificado do vCenter é válido, execute o comando govc about:

      govc about

      Se o certificado do vCenter for válido, o comando govc about vai imprimir detalhes sobre o vCenter Server semelhantes a este: 

      FullName: VMware Center Server 7.0.3 build-24322018
Name: VMware Center Server
Vendor: VMware, Inc.
Version: 7.0.3
Build: 24322018
OS type: linux-x64
API type: VirtualCenter
API version: 7.0.3.0
Product ID: vpx
UUID: 475fa366-faa9-43f0-9417-e6dadc55514c

      Se o certificado for inválido, você vai receber um erro x509. Se você encontrar um erro x509, atualize a variável de ambiente FULL_PATH_OF_EXTRACTED_LIN_FILE para apontar para um arquivo de certificado do Linux diferente na pasta ..../certs/lin extraída e execute o comando govc about novamente. Repita as etapas a e b até localizar o certificado válido ou concluir o teste de cada um dos arquivos de certificado do Linux na pasta ..../certs/lin extraída.

  3. Para fazer backup do arquivo de certificado de CA do vCenter antigo (que está no caminho especificado no campo vCenter.caCertPath do arquivo de configuração do cluster de administrador), renomeie-o como vcenter-ca-cert.pem.old.

  4. Renomeie o novo arquivo de certificado válido na pasta ..../certs/lin para vcenter-ca-cert.pem e mova para o caminho especificado no campo vCenter.caCertPath do arquivo de configuração do cluster de administrador.

  5. Se você criou a estação de trabalho do administrador com gkeadm, verifique se o vCenter.caCertPath no arquivo de configuração da estação de trabalho do administrador tem o mesmo caminho do arquivo de configuração do cluster de administrador.

  6. Atualize o cluster de administrador:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Substitua:

    • ADMIN_CLUSTER_CONFIG: o caminho do arquivo de configuração do cluster de administrador.

    Depois que o comando de atualização for concluído, o cluster de administrador usará o novo certificado.

  7. Verifique se o cluster de administrador está íntegro:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Para mais informações, consulte Diagnosticar um cluster de administrador.

  8. Em cada um dos arquivos de configuração do cluster de usuário, defina vCenter.caCertPath como o caminho do novo arquivo vcenter-ca-cert.pem.

  9. Para cada um dos clusters de usuário, execute o comando gkectl update: 

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Substitua:

    • USER_CLUSTER_CONFIG: o caminho do arquivo de configuração do cluster de usuário.

    Depois que o comando de atualização for concluído para um cluster de usuário específico, o cluster usará o novo certificado.

  10. Verifique se o cluster de usuário está íntegro:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --cluster-name USER_CLUSTER_NAME

    Para mais informações, consulte Diagnosticar um cluster de usuário.