vCenter-CA-Zertifikatsverweise aktualisieren

Auf dieser Seite wird beschrieben, wie Sie den Verweis auf das vCenter-CA-Zertifikat aktualisieren, wenn er sich geändert hat, da Ihr laufender Administratorcluster und Ihre Nutzercluster über die Änderung informiert werden müssen. Dies betrifft das Feld vCenter.caCertPath in der Konfigurationsdatei des Administratorclusters und in den Nutzercluster-Konfigurationsdateien für Google Distributed Cloud.

Sie können die Zertifikatsverweise mit dem Befehl gkectl update aktualisieren, wie hier beschrieben.

Referenziertes vCenter-CA-Zertifikat in den Clusterkonfigurationsdateien aktualisieren

So aktualisieren Sie die laufenden Administrator- und Nutzercluster mit dem neuen Zertifikat:

  1. Rufen Sie das neue vCenter-CA-Zertifikat ab und extrahieren Sie es:

    curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
unzip certs.zip

    Sie können das Flag -k verwenden, wenn Sie unbekannte Zertifikate zulassen möchten. Damit vermeiden Sie Zertifikatsprobleme, auf die Sie beim Zugriff auf vCenter haben können.

  2. Ermitteln Sie, welches der vCenter-Zertifikate gültig ist. Nur eine der Linux-Zertifikatsdateien im extrahierten Ordner ..../certs/lin ist das gültige vCenter-Zertifikat. So ermitteln Sie, welche Datei das gültige vCenter-Zertifikat ist:

    1. Legen Sie die folgenden Umgebungsvariablen auf der Administratorworkstation fest, auf der govc bereits installiert ist. Falls noch nicht geschehen, laden Sie das govc-Tool herunter und installieren Sie es: 

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
export GOVC_USERNAME=VCENTER_USERNAME
export GOVC_PASSWORD=VCENTER_PASSWORD
export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
export GOVC_INSECURE=false

      Ersetzen Sie Folgendes:

      • VCENTER_IP_ADDRESS_OR_FQDN: die IP-Adresse oder der FQDN des vCenter-Servers.

      • VCENTER_USERNAME: Der Nutzername des vCenter-Servers.

      • VCENTER_PASSWORD: das Passwort für den angegebenen Nutzernamen.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: Der vollständige Pfad zur Linux-Zertifikatsdatei, für die Sie einen Gültigkeitstest durchführen.

    2. Führen Sie den Befehl govc about aus, um zu prüfen, ob das vCenter-Zertifikat gültig ist:

      govc about

      Wenn das vCenter-Zertifikat gültig ist, gibt der govc about-Befehl Details zum vCenter-Server aus, die in etwa so aussehen: 

      FullName: VMware Center Server 7.0.3 build-24322018
Name: VMware Center Server
Vendor: VMware, Inc.
Version: 7.0.3
Build: 24322018
OS type: linux-x64
API type: VirtualCenter
API version: 7.0.3.0
Product ID: vpx
UUID: 475fa366-faa9-43f0-9417-e6dadc55514c

      Wenn das Zertifikat ungültig ist, sollte der Fehler x509 angezeigt werden. Wenn der Fehler x509 angezeigt wird, aktualisieren Sie die Umgebungsvariable FULL_PATH_OF_EXTRACTED_LIN_FILE so, dass sie auf eine andere Linux-Zertifikatsdatei im extrahierten Ordner ..../certs/lin verweist, und führen Sie den Befehl govc about noch einmal aus. Wiederholen Sie die Schritte a und b, bis Sie das gültige Zertifikat gefunden haben oder bis Sie alle Linux-Zertifikatsdateien im extrahierten Ordner ..../certs/lin getestet haben.

  3. Sichern Sie die alte vCenter-CA-Zertifikatsdatei (die sich unter dem Pfad befindet, der im Feld vCenter.caCertPath Ihrer Administratorcluster-Konfigurationsdatei angegeben ist), indem Sie sie in vcenter-ca-cert.pem.old umbenennen.

  4. Benennen Sie die neue gültige Zertifikatsdatei im Ordner ..../certs/lin in vcenter-ca-cert.pem um und verschieben Sie sie dann in den Pfad, der im Feld vCenter.caCertPath Ihrer Konfigurationsdatei für den Administratorcluster angegeben ist.

  5. Wenn Sie Ihre Administrator-Workstation mit gkeadm erstellt haben, muss der Pfad für vCenter.caCertPath in der Konfigurationsdatei der Administrator-Workstation mit dem Pfad der Konfigurationsdatei des Administratorclusters übereinstimmen.

  6. Administratorcluster aktualisieren:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Ersetzen Sie Folgendes:

    • ADMIN_CLUSTER_CONFIG: Pfad Ihrer Konfigurationsdatei für den Administratorcluster.

    Nach Abschluss des Aktualisierungsbefehls verwendet der Administratorcluster das neue Zertifikat.

  7. Prüfen Sie, ob der Administratorcluster fehlerfrei ist:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Weitere Informationen finden Sie unter Administratorcluster diagnostizieren.

  8. Legen Sie in jeder Nutzercluster-Konfigurationsdatei vCenter.caCertPath auf den Pfad Ihrer neuen vcenter-ca-cert.pem-Datei fest.

  9. Führen Sie für jeden Ihrer Nutzercluster den Befehl gkectl update aus: 

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    Ersetzen Sie Folgendes:

    • USER_CLUSTER_CONFIG: der Pfad Ihrer Nutzercluster-Konfigurationsdatei.

    Nachdem der Aktualisierungsbefehl für einen bestimmten Nutzercluster abgeschlossen ist, verwendet der Cluster das neue Zertifikat.

  10. Prüfen Sie, ob der Nutzercluster fehlerfrei ist:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --cluster-name USER_CLUSTER_NAME

    Weitere Informationen finden Sie unter Nutzercluster diagnostizieren.