עדכון ההפניות לאישור CA של vCenter

בדף הזה מוסבר איך לעדכן את ההפניה לאישור CA של vCenter אם הוא השתנה, כי אשכול האדמין ואשכולות המשתמשים שפועלים צריכים לקבל עדכון על השינוי. ההשפעה היא על השדה vCenter.caCertPath בקובץ התצורה של אשכול האדמין ובקבצים של אשכולות המשתמשים ב-Google Distributed Cloud.

אפשר לעדכן את ההפניות לאישור באמצעות הפקודה gkectl update כמו שמתואר כאן.

עדכון אישור ה-CA של vCenter שאליו יש הפניה בקובצי התצורה של האשכול

כדי לעדכן את קלאסטרי האדמין והמשתמשים הפעילים לשימוש באישור החדש:

  1. מאחזרים את אישור ה-CA החדש של vCenter ומחלצים אותו:

    curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
unzip certs.zip

    אפשר להשתמש בדגל -k אם רוצים לאפשר אישורים לא מוכרים. כך תוכלו להימנע מבעיות באישור הגישה ל-vCenter.

  2. קובעים איזה מבין האישורים של vCenter תקף. רק אחד מקובצי האישורים של Linux בתיקייה ..../certs/lin שחולצה הוא אישור vCenter תקף. כדי לקבוע איזה קובץ הוא אישור vCenter תקף:

    1. מגדירים את משתני הסביבה הבאים מ-Admin Workstation שבה govc כבר מותקן. אם עדיין לא עשיתם זאת, מורידים ומתקינים את הכלי govc: 

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
export GOVC_USERNAME=VCENTER_USERNAME
export GOVC_PASSWORD=VCENTER_PASSWORD
export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
export GOVC_INSECURE=false

      מחליפים את מה שכתוב בשדות הבאים:

      • VCENTER_IP_ADDRESS_OR_FQDN: כתובת ה-IP או ה-FQDN של שרת vCenter.

      • VCENTER_USERNAME: שם המשתמש של שרת vCenter.

      • VCENTER_PASSWORD: הסיסמה של שם המשתמש שצוין.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: הנתיב המלא לקובץ האישור של Linux שרוצים לבדוק את התוקף שלו.

    2. כדי לוודא שהאישור של vCenter תקף, מריצים את הפקודה govc about:

      govc about

      אם האישור של vCenter תקף, הפקודה govc about מדפיסה פרטים על שרת vCenter שדומים לפרטים הבאים:

      FullName: VMware Center Server 7.0.3 build-24322018
Name: VMware Center Server
Vendor: VMware, Inc.
Version: 7.0.3
Build: 24322018
OS type: linux-x64
API type: VirtualCenter
API version: 7.0.3.0
Product ID: vpx
UUID: 475fa366-faa9-43f0-9417-e6dadc55514c

      אם האישור לא תקף, תופיע שגיאת x509. אם מופיעה שגיאה x509, מעדכנים את משתנה הסביבה FULL_PATH_OF_EXTRACTED_LIN_FILE כך שיצביע על קובץ אישור אחר של Linux בתיקייה ..../certs/lin שחולצה, ואז מריצים שוב את הפקודה govc about. חוזרים על שלבים א' ו-ב' עד שמאתרים את האישור התקין, או עד שמסיימים לבדוק כל אחד מקובצי האישורים של Linux בתיקייה ..../certs/lin שחולצה.

  3. כדי לגבות את קובץ אישור ה-CA הישן של vCenter (שנמצא בנתיב שצוין בשדה vCenter.caCertPath בקובץ התצורה של אשכול האדמין), משנים את השם שלו ל-vcenter-ca-cert.pem.old.

  4. משנים את השם של קובץ האישור החדש והתקין בתיקייה ..../certs/lin ל-vcenter-ca-cert.pem ואז מעבירים אותו לנתיב שצוין בשדה vCenter.caCertPath בקובץ ההגדרות של אשכול הניהול.

  5. אם יצרתם את תחנת העבודה לאדמין באמצעות gkeadm, ודאו שהנתיב של vCenter.caCertPath בקובץ התצורה של תחנת העבודה לאדמין זהה לנתיב של קובץ התצורה של אשכול האדמין.

אם Controlplane V2 מופעל באשכולות המשתמשים שלכם, וזה נדרש לגרסה 1.32 ואילך, צריך לעדכן קודם את אשכולות המשתמשים ואז את אשכול האדמין. במקרה של אשכולות משתמשים שלא מופעל בהם Controlplane V2 (שנקרא kubception), צריך לעדכן קודם את אשכול האדמין ואז את אשכולות המשתמשים.

Controlplane V2

  1. בכל אחד מקובצי ההגדרות של אשכולות המשתמשים, מגדירים את vCenter.caCertPath לנתיב של קובץ vcenter-ca-cert.pem החדש.

  2. מריצים את הפקודה gkectl update לכל אחד מאשכולות המשתמשים:

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    מחליפים את מה שכתוב בשדות הבאים:

    • USER_CLUSTER_CONFIG: הנתיב של קובץ התצורה של אשכול המשתמשים.
    • ADMIN_CLUSTER_KUBECONFIG: הנתיב לקובץ kubeconfig של אשכול האדמין.

    אחרי שפקודת העדכון מסתיימת עבור אשכול משתמשים מסוים, האשכול ישתמש באישור החדש.

  3. מוודאים שקלאסטר המשתמשים תקין:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --cluster-name USER_CLUSTER_NAME

    מידע נוסף זמין במאמר בנושא אבחון אשכול משתמשים.

  4. מעדכנים את אשכול האדמין:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    מחליפים את מה שכתוב בשדות הבאים:

    • ADMIN_CLUSTER_CONFIG: הנתיב של קובץ התצורה של אשכול האדמין.

    אחרי שפקודת העדכון מסתיימת, אשכול האדמין משתמש באישור החדש.

  5. מוודאים שקלאסטר האדמין תקין:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    למידע נוסף, תוכלו לקרוא על אבחון של אשכול אדמין.

Kubception

  1. מעדכנים את אשכול האדמין:

    gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    מחליפים את מה שכתוב בשדות הבאים:

    • ADMIN_CLUSTER_CONFIG: הנתיב של קובץ התצורה של אשכול האדמין.

    אחרי שפקודת העדכון מסתיימת, אשכול האדמין משתמש באישור החדש.

  2. מוודאים שקלאסטר האדמין תקין:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    למידע נוסף, תוכלו לקרוא על אבחון של אשכול אדמין.

  3. בכל אחד מקובצי ההגדרות של אשכולות המשתמשים, מגדירים את vCenter.caCertPath לנתיב של קובץ vcenter-ca-cert.pem החדש.

  4. מריצים את הפקודה gkectl update לכל אחד מאשכולות המשתמשים:

    gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

    מחליפים את מה שכתוב בשדות הבאים:

    • USER_CLUSTER_CONFIG: הנתיב של קובץ התצורה של אשכול המשתמשים.

    אחרי שפקודת העדכון מסתיימת עבור אשכול משתמשים מסוים, האשכול ישתמש באישור החדש.

  5. מוודאים שקלאסטר המשתמשים תקין:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
  --cluster-name USER_CLUSTER_NAME

    מידע נוסף זמין במאמר בנושא אבחון אשכול משתמשים.