Container Service for Kubernetes (ACK) クラスターの API サーバー証明書には、サブジェクト代替名 (SAN) フィールドが含まれています。デフォルトでは、このフィールドにはクラスターのローカルドメイン名、API サーバーに関連付けられた Server Load Balancer (SLB) インスタンスのプライベート IP アドレスとパブリック Elastic IP アドレス (EIP)、およびローカルサービス IP が含まれます。デフォルトの SAN でカバーされていないプロキシまたはカスタムドメイン経由で API サーバーにアクセスすると、TLS 検証は失敗します。これを防ぐには、カスタムの IP アドレス、ドメイン名、または URI を SAN フィールドに追加します。
SAN のカスタマイズのサポート状況は、クラスタータイプによって異なります。
| クラスタータイプ | 作成時 | 既存のクラスター |
|---|---|---|
| ACK マネージドクラスター | サポート | サポート |
| ACK 専用クラスター | サポート | 非サポート |
| ACK Serverless クラスター | 非サポート | サポート |
前提条件
開始する前に、以下のものがあることを確認してください。
ACK マネージドクラスター、ACK 専用クラスター、または ACK Serverless クラスター。「ACK マネージドクラスターを作成する」、「ACK 専用クラスターを作成する」、または「ACK Serverless クラスターを作成する」
SAN の概要
SAN は X.509 の拡張機能です。値を subjectAltName フィールドに追加することで、さまざまな値を SSL 証明書に関連付けることができます。値には、IP アドレス、ドメイン名、URI、またはメールアドレスが指定できます。
クラスター API サーバー証明書の SAN のカスタマイズ
クラスター作成時の SAN のカスタマイズ
以下の手順では、ACK マネージドクラスターを例として使用します。この手順は、他のサポートされているクラスタータイプにも適用されます。
[クラスターの作成] ページで、[詳細オプションを表示] をクリックします。[カスタム証明書 SAN] フィールドに、API サーバー証明書に追加する SAN を入力します。複数の値はカンマ (,) で区切ります。受け入れられる値のタイプは、IP アドレス、ドメイン名、URI、またはメールアドレスです。
既存クラスターの SAN の更新
既存のクラスターの API サーバー証明書のカスタム SAN を更新または変更する場合、このプロセス中に API サーバーが再起動する可能性があります。この操作はオフピーク時間に実行することを推奨します。
ACK コンソールにログインします。左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、対象のクラスターを見つけてその名前をクリックします。左側のペインで、[クラスター情報] をクリックします。
クラスター詳細ページで、[基本情報] タブをクリックします。[ネットワーク] セクションで、[カスタム証明書 SAN] の右側にある [編集] をクリックします。
[カスタム SAN の更新] ダイアログボックスで、[カスタム証明書 SAN] パラメーターを設定し、[OK] をクリックします。
次のステップ
API サーバー監査ログを使用して、異なるユーザーによって実行された操作を記録およびトレースします。詳しくは、「クラスター監査の操作」をご参照ください。