Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Cloud Container Engine/ Guia de usuário/ Clusters/ Conexão a um cluster/ Acesso a um cluster usando um nome de domínio personalizado
Atualizado em 2024-11-28 GMT+08:00
Ver PDF
Compartilhar

Acesso a um cluster usando um nome de domínio personalizado

Cenário

Um Nome alternativo do assunto (SAN) pode ser conectado a um certificado de servidor de cluster. Um SAN é normalmente usado pelo cliente para verificar a validade do servidor em handshakes TLS. Especificamente, a verificação de validade inclui se o certificado de servidor é emitido por uma AC confiável pelo cliente e se o SAN no certificado corresponde ao endereço IP ou nome de domínio do DNS que o cliente realmente acessa.

Se o cliente não conseguir acessar diretamente o IP privado ou EIP do cluster, você poderá assinar o endereço IP ou o nome de domínio do DNS que pode ser acessado diretamente pelo cliente no certificado do servidor de cluster para habilitar a autenticação bidirecional no cliente, o que melhora a segurança. Casos de uso típicos incluem acesso à DNAT e acesso ao nome de domínio.

Cenários típicos de acesso a nomes de domínio:

  • Adicione o mapeamento de nome de domínio de resposta ao especificar o endereço de nome de domínio do DNS na configuração de nome de domínio do host no cliente ou ao configurar /etc/hosts no host do cliente.
  • Use o acesso de nome de domínio na intranet. O DNS permite configurar mapeamentos entre EIPs de cluster e nomes de domínio personalizados. Depois que um EIP for atualizado, você poderá continuar usando a autenticação bidirecional e o nome de domínio para acessar o cluster sem baixar o arquivo kubeconfig.json novamente.
  • Adicione registros A em um servidor DNS autoconstruído.

Restrições

Esse recurso está disponível apenas para clusters de v1.19 e posteriores.

Personalizar um SAN

  1. Efetue logon no console do CCE.
  2. Clique no cluster de destino na lista de clusters para ir para a página de detalhes do cluster.
  3. Na área Connection Information, clique em ao lado de Custom SAN. Na caixa de diálogo exibida, adicione o endereço IP ou o nome do domínio e clique em Save.

    Figura 1 Personalizar SAN

    1. Esta operação irá reiniciar o kube-apiserver e atualizar o arquivo kubeconfig.json por um curto período de tempo. Não execute operações no cluster durante esse período.

    2. Um máximo de 128 nomes de domínio ou endereços IP, separados por vírgulas (,), são permitidos.

    3. Se um nome de domínio personalizado precisar ser vinculado a um EIP, verifique se um EIP foi configurado.

Tópico principal: Conexão a um cluster