Container Service for Kubernetes (ACK) クラスターの API サーバー証明書には、サブジェクト代替名 (SAN) フィールドが含まれています。デフォルトで、このフィールドには、クラスターの内部ドメイン、API サーバー用の Server Load Balancer (SLB) インスタンスのプライベート IP アドレス、API サーバー Service のローカル IP アドレス、および Elastic IP アドレス (EIP) が含まれます。プロキシアクセスやクロスドメインアクセスなどの特別な要件がある場合は、ACK コンソールで新規または既存のクラスターにカスタム SAN を追加できます。
前提条件
ACK マネージドクラスター、ACK 専用クラスター、または ACK Serverless クラスターを作成済みです。 詳細については、「ACK マネージドクラスターの作成」、「ACK 専用クラスターの作成 (廃止)」、または「ACK Serverless クラスターの作成」をご参照ください。
ACK サーバーレスクラスターは、クラスター作成時に SAN をカスタマイズできません。SAN は、既存のクラスターでのみ更新できます。
ACK 専用クラスターは、クラスター作成時にのみ SAN のカスタマイズをサポートします。既存のクラスターの SAN は更新できません。
SAN の概要
サブジェクト代替名 (SAN) は X.509 標準の拡張機能であり、subjectAltName フィールドを使用して、IP アドレス、ドメイン名、URI、メールアドレスなどの複数の値を SSL 証明書に関連付けることができます。
API サーバー証明書へのカスタム SAN の追加
新規クラスター
このセクションでは、ACK マネージドクラスターを例として、クラスター作成時にカスタム SAN を追加する方法を説明します。手順は、他のクラスタータイプでも同様です。
クラスターを作成する際、クラスター設定 セクションで 事前設定の表示 をクリックします。カスタム証明書 SAN 設定で、値を入力します。詳細については、「ACK マネージドクラスターの作成」をご参照ください。
カスタム証明書 SAN フィールドには、有効な IP アドレス、ドメイン名、URI を入力できます。複数のエントリはコンマで区切ります。
[カスタム証明書 SAN]
既存クラスター
カスタム SAN を更新または変更すると、クラスターの API サーバーが短時間再起動します。この操作はオフピーク時間に実行してください。
ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、管理するクラスターの名前をクリックします。 左側のウィンドウで、[クラスター情報] をクリックします。
クラスター情報 ページで 基本情報 タブをクリックし、ネットワーク セクションで カスタム証明書 SAN の右側にある 編集 をクリックします。
カスタム証明書 SAN の更新 ダイアログボックスで、カスタム証明書 SAN フィールドにカスタム値を入力し、OK をクリックします。
関連ドキュメント
API サーバーの監査ログは、ユーザー操作を記録および追跡します。詳細については、「クラスター API サーバーの監査機能の使用」をご参照ください。