Container Service for Kubernetes (ACK) クラスターのAPIサーバー証明書には、Subject Alternative Name (SAN) フィールドが含まれています。 デフォルトでは、このフィールドにはクラスターのドメイン名とIPアドレスが含まれます。 このフィールドには、クラスターのAPIサーバーに関連付けられているServer Load Balancer (SLB) インスタンスのelastic IPアドレス (EIP) とプライベートIPアドレスも含まれます。 プロキシベースのアクセスまたはクロスドメインアクセスが必要な場合は、ACKコンソールで新規または既存のクラスターのSANをカスタマイズできます。
前提条件
ACK管理クラスター、ACK専用クラスター、またはACKサーバーレスクラスターが作成されます。 詳細については、「ACK専用クラスターの作成」「ACK管理クラスターの作成」または「ACKサーバーレスクラスターの作成」をご参照ください。
クラスターの作成時に、ACK ServerlessクラスターのSANをカスタマイズすることはできません。 既存のACKサーバーレスクラスターのSANのみを更新できます。
ACK専用クラスターのSANは、クラスターを作成する場合にのみカスタマイズできます。 既存のACK専用クラスターのSANを更新することはできません。
SANの概要
SANはX.509の拡張です。 subjectAltNameフィールドに値を追加することで、さまざまな値をSSL証明書に関連付けることができます。 値には、IPアドレス、ドメイン名、URI、または電子メールアドレスを指定できます。
クラスターのAPIサーバー証明書のSANのカスタマイズ
クラスター作成時のAPIサーバー証明書のSANのカスタマイズ
このセクションでは、ACK管理クラスターを作成するときにAPIサーバー証明書のSANをカスタマイズする方法について説明します。 手順を参照して、別のタイプのクラスターのAPIサーバー証明書のSANをカスタマイズできます。
[クラスターの作成] ページで、[詳細オプションの表示] をクリックします。 [カスタム証明書のSAN] フィールドに、APIサーバー証明書に追加するSANを入力します。 詳細については、「ACK管理クラスターの作成」をご参照ください。
[カスタム証明書SAN] フィールドに複数の値を入力できます。 値は、規則に準拠したIPアドレス、ドメイン名、またはURIにすることができます。 複数入力する場合は、カンマ (,) で区切ります。
上の図では、[カスタム証明書SAN] フィールドに2つのドメイン名とIPアドレスが入力されています。
既存のクラスターのAPIサーバー証明書のSANのカスタマイズ
既存のクラスターのAPIサーバー証明書のカスタムSANを更新または変更すると、このプロセス中にAPIサーバーが再起動することがあります。 そのため、ピーク時間外に操作を実行することを推奨します。
ACKコンソールにログインします。
ACKコンソールの左側のナビゲーションウィンドウで、[クラスター] をクリックします。
[クラスター] ページで、管理するクラスターを見つけ、クラスターの名前をクリックするか、[操作] 列の [詳細] をクリックします。 クラスターの詳細ページが表示されます。
クラスターの詳細ページで、[基本情報] タブをクリックし、[カスタム証明書SAN] の右側にある [更新] をクリックします。
[カスタムSANの更新] ダイアログボックスで、[カスタム証明書SAN] パラメーターを設定し、[OK] をクリックします。
関連ドキュメント
APIサーバーの監査ログは、さまざまなユーザーの毎日の操作を記録または追跡するのに役立ちます。 詳細については、「クラスター監査の操作」をご参照ください。