Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Cloud Container Engine/ Guía del usuario/ Clústeres/ Conexión de clústeres/ Personalización de una SAN de certificados de clúster
Actualización más reciente 2024-09-10 GMT+08:00
Ver PDF
Compartir

Personalización de una SAN de certificados de clúster

Escenario

Un Subject Alternative Name (SAN) se puede iniciar sesión en un certificado de servidor de clúster. Por lo general, el cliente utiliza una SAN para verificar la validez del servidor en los acuerdos de enlace TLS. Específicamente, la comprobación de validez incluye si el certificado de servidor es emitido por una CA de confianza por el cliente y si la SAN en el certificado coincide con la dirección IP o el nombre de dominio DNS al que el cliente accede realmente.

Si el cliente no puede acceder directamente a la IP privada o EIP del clúster, puede firmar la dirección IP o el nombre de dominio DNS a los que el cliente puede acceder directamente en el certificado del servidor del clúster para habilitar la autenticación bidireccional en el cliente, lo que mejora la seguridad. Los casos de uso típicos incluyen acceso de DNAT y acceso de nombre de dominio.

Restricciones

Esta función solo está disponible para clústeres de v1.19 y versiones posteriores.

Personalización de una SAN

  1. Inicie sesión en la consola de CCE.
  2. Haga clic en el clúster de destino en la lista de clústeres para ir a la página de detalles del clúster.
  3. En el área Connection Information, haga clic en junto a Custom SAN. En el cuadro de diálogo que se muestra, agregue la dirección IP o el nombre de dominio y haga clic en Save.

    1. Esta operación reiniciará kube-apiserver y actualizará el archivo kubeconfig.json por un corto período de tiempo. No realice operaciones en el clúster durante este período.

    2. Se permite un máximo de 128 nombres de dominio o direcciones IP, separados por comas (,).

    3. Si un nombre de dominio personalizado necesita estar enlazado a una EIP, asegúrese de que se ha configurado una EIP.

Escenarios típicos de acceso a nombres de dominio

  • Agregue la asignación de nombre de dominio de respuesta al especificar la dirección del nombre de dominio de DNS en la configuración del nombre de dominio del host en el cliente o al configurar /etc/hosts en el host del cliente.
  • Utilice el acceso al nombre de dominio en la intranet. DNS le permite configurar asignaciones entre EIP de clúster y nombres de dominio personalizados. Después de actualizar una EIP, puede seguir utilizando la autenticación bidireccional y el nombre de dominio para acceder al clúster sin descargar de nuevo el archivo kubeconfig.json.
  • Agregue los registros A en un servidor DNS autoconstruido.
Tema principal: Conexión de clústeres