Sertifikat server API Kubernetes pada kluster Container Service for Kubernetes (ACK) mencakup bidang Subject Alternative Name (SAN). Secara default, bidang ini berisi nama domain kluster, alamat IP kluster, alamat IP elastis (EIP) dari instans Server Load Balancer (SLB) yang terkait dengan server API, serta alamat IP pribadi instans SLB tersebut. Jika Anda mengakses server API melalui proxy atau nama domain kustom, tambahkan alamat proxy atau nama domain tersebut sebagai SAN kustom—jika tidak, proses jabat tangan TLS akan gagal karena kesalahan validasi sertifikat.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Kluster ACK yang dikelola, kluster khusus ACK, atau kluster ACK Serverless. Untuk informasi selengkapnya, lihat Create an ACK dedicated cluster, Create an ACK managed cluster, atau Create an ACK Serverless cluster.
Batasan berdasarkan jenis kluster
Ketersediaan penyesuaian SAN bervariasi tergantung jenis kluster:
| Jenis kluster | Sesuaikan saat pembuatan | Perbarui setelah pembuatan |
|---|---|---|
| Kluster ACK yang dikelola | Ya | Ya |
| Kluster khusus ACK | Ya | Tidak |
| Kluster ACK Serverless | Tidak | Ya |
Ikhtisar SAN
SAN adalah ekstensi X.509 yang memungkinkan Anda mengaitkan identitas tambahan ke sertifikat TLS/SSL dengan menambahkan nilai ke bidang subjectAltName. Jenis nilai yang diterima mencakup alamat IP, nama domain, URI, dan alamat email.
Alasan umum untuk menambahkan SAN kustom:
Mengakses server API melalui proxy
Mengakses kluster melalui nama domain kustom
Sesuaikan SAN sertifikat server API kluster
Sesuaikan SAN saat membuat kluster
Langkah-langkah berikut menggunakan contoh kluster ACK yang dikelola. Bidang yang sama tersedia saat membuat jenis kluster lain yang didukung.
Pada halaman Create Cluster, klik Show Advanced Options. Di bidang Custom Certificate SANs, masukkan nilai yang ingin ditambahkan ke sertifikat server API. Pisahkan beberapa nilai dengan koma (,). Nilai yang diterima adalah alamat IP, nama domain, dan URI yang sesuai dengan konvensi.
Gambar di atas menunjukkan dua nama domain dan satu alamat IP yang dimasukkan ke dalam bidang Custom Certificate SANs.
Untuk prosedur lengkap pembuatan kluster, lihat Create an ACK managed cluster.
Perbarui SAN untuk kluster yang sudah ada
Jika Anda memperbarui atau mengubah SAN kustom pada sertifikat server API untuk kluster yang sudah ada, server API mungkin akan melakukan restart selama proses ini. Kami menyarankan agar operasi ini dilakukan pada jam sepi.
Masuk ke Konsol ACK. Di panel navigasi sebelah kiri, klik Clusters.
Pada halaman Clusters, temukan kluster tersebut lalu klik namanya. Di panel sebelah kiri, klik Cluster Information.
Klik tab Basic Information. Di bagian Network, klik Edit di sebelah kanan Custom Certificate SANs.
Pada kotak dialog Update Custom SAN, konfigurasikan parameter Custom Certificate SANs lalu klik OK.
Langkah berikutnya
Untuk memantau dan mengaudit operasi server API setelah memperbarui sertifikat, lihat Work with cluster auditing.