Atualize as referências do certificado da AC do vCenter

Esta página descreve como atualizar a referência ao certificado da AC do vCenter se tiver sido alterado, uma vez que o cluster de administrador e os clusters de utilizadores em execução têm de ser informados da alteração. Isto afeta o campo vCenter.caCertPath no ficheiro de configuração do cluster de administrador e os ficheiros de configuração do cluster de utilizador para o Google Distributed Cloud.

Pode atualizar as referências de certificados com o comando gkectl update, conforme descrito aqui.

Atualize o certificado da AC do vCenter referenciado nos ficheiros de configuração do cluster

Para atualizar os clusters de administrador e de utilizador em execução para usar o novo certificado:

1. Obtenha o novo certificado da AC do vCenter e extraia-o:

   curl -o certs.zip https://VCENTER_IP_ADDRESS_OR_FQDN/certs/download.zip
   unzip certs.zip
   

   Pode usar a flag -k se quiser permitir certificados desconhecidos. Isto destina-se a evitar problemas de certificados que possa ter ao aceder ao vCenter.

2. Determine qual dos certificados do vCenter é válido. Apenas um dos ficheiros de certificado do Linux na pasta ..../certs/lin extraída é o certificado do vCenter válido. Para determinar qual é o certificado do vCenter válido, faça o seguinte:

   1. Defina as seguintes variáveis de ambiente a partir da estação de trabalho de administração onde o govc já está instalado. Se ainda não o fez, transfira e instale a ferramenta govc:

      export GOVC_URL=https://VCENTER_IP_ADDRESS_OR_FQDN
      export GOVC_USERNAME=VCENTER_USERNAME
      export GOVC_PASSWORD=VCENTER_PASSWORD
      export GOVC_TLS_CA_CERTS=FULL_PATH_OF_EXTRACTED_LIN_FILE
      export GOVC_INSECURE=false
      

      Substitua o seguinte:

      • VCENTER_IP_ADDRESS_OR_FQDN: o endereço IP ou o FQDN do vCenter Server.

      • VCENTER_USERNAME: o nome de utilizador do vCenter Server.

      • VCENTER_PASSWORD: a palavra-passe para o nome de utilizador especificado.

      • FULL_PATH_OF_EXTRACTED_LIN_FILE: o caminho completo para o ficheiro de certificado do Linux para o qual está a realizar um teste de validade.

   2. Para verificar se o certificado do vCenter é válido, execute o comando govc about:

      govc about
      

      Se o certificado do vCenter for válido, o comando govc about imprime detalhes sobre o vCenter Server semelhantes aos seguintes:

      FullName: VMware Center Server 7.0.3 build-24322018
      Name: VMware Center Server
      Vendor: VMware, Inc.
      Version: 7.0.3
      Build: 24322018
      OS type: linux-x64
      API type: VirtualCenter
      API version: 7.0.3.0
      Product ID: vpx
      UUID: 475fa366-faa9-43f0-9417-e6dadc55514c
      

      Se o certificado for inválido, deve ver um erro x509. Se vir um erro x509, atualize a variável de ambiente FULL_PATH_OF_EXTRACTED_LIN_FILE para apontar para um ficheiro de certificado do Linux diferente na pasta ..../certs/lin extraída e, em seguida, execute novamente o comando govc about. Repita os passos a. e b. até localizar o certificado válido ou até terminar os testes de cada um dos ficheiros de certificado do Linux na pasta ..../certs/lin extraída.

3. Para fazer uma cópia de segurança do ficheiro do certificado da CA do vCenter antigo (que se encontra no caminho especificado no campo vCenter.caCertPath do ficheiro de configuração do cluster de administrador), mude-lhe o nome para vcenter-ca-cert.pem.old.

4. Mude o nome do novo ficheiro de certificado válido na pasta ..../certs/lin para vcenter-ca-cert.pem e, em seguida, mova-o para o caminho especificado no campo vCenter.caCertPath do ficheiro de configuração do cluster de administrador.

5. Se criou a estação de trabalho de administração com gkeadm, certifique-se de que o vCenter.caCertPath no ficheiro de configuração da estação de trabalho de administração tem o mesmo caminho que o ficheiro de configuração do cluster de administração.

6. Atualize o cluster de administrador:

   gkectl update admin --config ADMIN_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   Substitua o seguinte:

   • ADMIN_CLUSTER_CONFIG: o caminho do ficheiro de configuração do cluster de administrador.

   Após a conclusão do comando de atualização, o cluster de administrador usa o novo certificado.

7. Verifique se o cluster de administrador está em bom estado:

   gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG
   

   Para mais informações, consulte o artigo Diagnosticar um cluster de administrador.

8. Em cada um dos ficheiros de configuração do cluster de utilizadores, defina vCenter.caCertPath para o caminho do novo ficheiro vcenter-ca-cert.pem.

9. Para cada um dos seus clusters de utilizadores, execute o comando gkectl update:

   gkectl update cluster --config USER_CLUSTER_CONFIG --kubeconfig ADMIN_CLUSTER_KUBECONFIG

   Substitua o seguinte:

   • USER_CLUSTER_CONFIG: o caminho do ficheiro de configuração do cluster de utilizadores.

   Depois de o comando de atualização ser concluído para um cluster de utilizadores específico, o cluster usa o novo certificado.

10. Verifique se o cluster de utilizadores está em bom estado:

    gkectl diagnose cluster --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
      --cluster-name USER_CLUSTER_NAME
    

    Para mais informações, consulte o artigo Diagnosticar um cluster de utilizadores.