Un nombre alternativo del sujeto (SAN) es una función de los certificados SSL que te permite definir los nombres de dominio y los subdominios que están protegidos por un certificado. En un clúster de Google Distributed Cloud, los SAN predeterminados para el certificado del servidor de la API de Kubernetes incluyen las direcciones IP y VIP de los nodos del plano de control y los nombres de DNS de Kubernetes. Con la función de SAN adicionales del certificado del servidor de la API personalizado, puedes agregar dominios, subdominios y direcciones IP adicionales como SAN al certificado del servidor de la API de Kubernetes para el clúster.
Para especificar SAN personalizadas para el certificado del servidor de la API, usa el campo controlPlane.apiServerCertExtraSANs en la especificación de configuración del clúster. Este campo toma una lista de nombres de dominio y direcciones IP. Este campo es opcional y mutable. Puedes agregar este campo y actualizarlo cuando crees un clúster o en cualquier momento después.
...
kind: Cluster
metadata:
name: sample001
namespace: cluster-sample001
spec:
type: user
...
controlPlane:
apiServerCertExtraSANs:
- "demo-dns.example.com"
- "sample-dns.com"
nodePoolSpec:
nodes:
- address: 10.200.0.20
clusterNetwork:
...
Agrega dominios durante la creación del clúster
Cuando agregas SAN adicionales al crear un clúster, el certificado del servidor de la API de Kubernetes incluye los dominios y las direcciones IP especificados adicionales cuando el clúster está disponible.
Agrega o actualiza dominios para un clúster existente
Dado que el campo apiServerCertExtraSANs es mutable, puedes agregarlo o actualizarlo en cualquier momento para los clústeres existentes. Cuando modificas el campo apiServerCertExtraSANs en el clúster, se activan las siguientes actividades:
Los controladores de clúster de Google Distributed Cloud regeneran el certificado del servidor de API para incluir los dominios adicionales modificados.
Los controladores del clúster reinician el servidor de la API para volver a cargar el certificado nuevo.
Un webhook verifica los nuevos valores de
apiServerCertExtraSANspara garantizar que cumplan con las convenciones de nombres de dominio de la RFC 1035.El grupo de nodos del plano de control entra en un estado de conciliación.
Control Plane Node Pool Status: Anthos Bare Metal Version: 1.28.0-gke.435 Anthos Bare Metal Versions: 1.28.0-gke.435: 3 Conditions: ... Last Transition Time: 2023-11-15T18:23:49Z Observed Generation: 1 Reason: Reconciling Status: True Type: ReconcilingEl grupo de nodos estará listo después de que el cambio se propague a los servidores de la API de Kubernetes en cada nodo del plano de control.
Control Plane Node Pool Status: Anthos Bare Metal Version: 1.28.0-gke.435 Anthos Bare Metal Versions: 1.28.0-gke.435: 3 Conditions: . . . Last Transition Time: 2023-11-15T18:32:25Z Observed Generation: 1 Reason: ReconciliationCompleted Status: False Type: Reconciling
Es posible que experimentes un tiempo de inactividad cuando actualices el campo de SAN adicionales del certificado del servidor de la API en un clúster en ejecución:
En los clústeres de alta disponibilidad (HA), las instancias del servidor de la API se reinician de forma secuencial. Aun así, puedes interactuar con el clúster durante la actualización del certificado, ya que el balanceador de cargas distribuye las solicitudes a cada servidor de la API. Sin embargo, es posible que veas una respuesta que indica que el servidor de la API se está cerrando. Si ves esta respuesta, vuelve a intentarlo.
En los clústeres sin alta disponibilidad, puede haber una breve interrupción de aproximadamente un minuto mientras se reinicia un servidor de la API para volver a cargar el certificado nuevo.
El cambio tarda entre 5 y 20 minutos en propagarse a todos los servidores de la API, según la cantidad de nodos del plano de control en el clúster y la carga del clúster.