Un nome alternativo del soggetto (SAN) è una funzionalità dei certificati SSL che consente di definire i nomi di dominio e i sottodomini protetti da un certificato. In un cluster Google Distributed Cloud, i nomi comuni del soggetto predefiniti per il certificato del server API Kubernetes includono gli indirizzi IP e VIP dei nodi del piano di controllo e i nomi DNS di Kubernetes. Con la funzionalità SAN aggiuntive per il certificato del server API personalizzato, puoi aggiungere ulteriori domini, sottodomini e indirizzi IP come SAN al certificato del server API Kubernetes per il cluster.
Per specificare i SAN personalizzati per il certificato del server API, utilizza il campo
controlPlane.apiServerCertExtraSANs
nella specifica di configurazione del cluster. Questo campo accetta un elenco di nomi di dominio
e indirizzi IP. Questo campo è facoltativo e modificabile. Puoi aggiungere questo campo e
aggiornarlo quando crei un cluster o in qualsiasi momento successivo.
...
kind: Cluster
metadata:
name: sample001
namespace: cluster-sample001
spec:
type: user
...
controlPlane:
apiServerCertExtraSANs:
- "demo-dns.example.com"
- "sample-dns.com"
nodePoolSpec:
nodes:
- address: 10.200.0.20
clusterNetwork:
...
Aggiungere domini durante la creazione del cluster
Quando aggiungi SAN aggiuntivi durante la creazione di un cluster, il certificato del server API Kubernetes include i domini e gli indirizzi IP aggiuntivi specificati quando il cluster diventa disponibile.
Aggiungere o aggiornare i domini per un cluster esistente
Poiché il campo apiServerCertExtraSANs è modificabile, puoi aggiungere o aggiornare il campo in qualsiasi momento per i cluster esistenti. Quando modifichi il campo
apiServerCertExtraSANs nel cluster, vengono attivate le seguenti
attività:
I controller del cluster Google Distributed Cloud rigenerano il certificato del server API per includere i domini aggiuntivi modificati.
I controller del cluster riavviano l'API server per ricaricare il nuovo certificato.
I nuovi valori di
apiServerCertExtraSANsvengono verificati da un webhook per assicurarsi che siano conformi alle convenzioni per i nomi di dominio RFC 1035.Il pool di nodi del control plane entra in uno stato di riconciliazione.
Control Plane Node Pool Status: Anthos Bare Metal Version: 1.28.0-gke.435 Anthos Bare Metal Versions: 1.28.0-gke.435: 3 Conditions: ... Last Transition Time: 2023-11-15T18:23:49Z Observed Generation: 1 Reason: Reconciling Status: True Type: ReconcilingIl pool di nodi diventa pronto dopo che la modifica viene propagata ai server API Kubernetes su ogni nodo del piano di controllo.
Control Plane Node Pool Status: Anthos Bare Metal Version: 1.28.0-gke.435 Anthos Bare Metal Versions: 1.28.0-gke.435: 3 Conditions: . . . Last Transition Time: 2023-11-15T18:32:25Z Observed Generation: 1 Reason: ReconciliationCompleted Status: False Type: Reconciling
Potresti riscontrare tempi di inattività durante l'aggiornamento del campo SAN aggiuntivo del certificato del server API su un cluster in esecuzione:
Nei cluster ad alta disponibilità (HA), le istanze del server API vengono riavviate in sequenza. Puoi comunque interagire con il cluster durante l'aggiornamento del certificato, perché il bilanciatore del carico distribuisce le richieste a ogni server API. Tuttavia, potresti visualizzare una risposta che indica che il server API è in fase di arresto. Se visualizzi questa risposta, riprova a inviare la richiesta.
Nei cluster non HA, potrebbe verificarsi una breve interruzione di circa un minuto mentre un server API viene riavviato per ricaricare il nuovo certificato.
La modifica richiede 5-20 minuti per essere propagata a tutti i server API, a seconda del numero di nodi del piano di controllo nel cluster e del carico del cluster.