MicroK8s中配置API服务器证书使用主机名的技术方案

在Kubernetes集群的日常运维中，我们经常需要从集群内部或外部通过主机名访问API服务器。MicroK8s作为轻量级Kubernetes发行版，其默认配置使用环回地址或节点IP作为API服务器证书的主题备用名称(SAN)，这可能导致通过主机名访问时出现TLS证书验证错误。本文将详细介绍如何配置MicroK8s使用主机名作为API服务器证书的合法SAN。

问题背景

MicroK8s默认生成的API服务器证书仅包含以下SAN：

• 本地环回地址(127.0.0.1)
• 服务CIDR中的第一个IP
• 节点实际IP地址
• Kubernetes服务DNS名称

当用户尝试通过节点主机名访问API服务器时，由于主机名不在证书的SAN列表中，TLS握手会失败并报错"x509: certificate is valid for [其他名称], not [主机名]"。

解决方案

MicroK8s提供了通过调整启动配置来扩展API服务器证书SAN列表的功能。具体步骤如下：

1. 编辑MicroK8s启动配置

使用以下命令编辑MicroK8s的启动配置文件：

sudo microk8s stop
sudo vim /var/snap/microk8s/current/args/kube-apiserver

2. 添加extraSANs参数

在kube-apiserver的启动参数中添加或修改以下行：

--extra-sans=your-hostname,your-fully-qualified-domain-name

其中：

• your-hostname是节点的主机名(hostname)
• your-fully-qualified-domain-name是完全限定域名(FQDN)

3. 重启MicroK8s并重新生成证书

保存修改后，执行以下命令：

sudo microk8s start
sudo microk8s refresh-certs -e server

4. 验证配置

检查新证书是否包含主机名：

openssl x509 -in /var/snap/microk8s/current/certs/server.crt -text -noout | grep DNS

高级配置

对于生产环境，建议考虑以下增强配置：

1. 多节点集群：在所有节点上统一配置相同的主机名和域名
2. 通配符证书：对于大规模集群，可以考虑使用通配符证书
3. 证书自动更新：配置证书自动轮换机制，确保证书过期前自动更新

注意事项

1. 调整证书配置会导致短暂的API服务中断
2. 在多节点集群中，需要确保所有节点的时间同步(NTP)
3. 证书变更后，可能需要更新kubeconfig文件中的服务器地址

结语

通过合理配置MicroK8s的API服务器证书SAN列表，可以实现通过主机名安全访问集群API，这对于构建自动化运维体系和实现灵活的网络拓扑至关重要。本文介绍的方法不仅适用于开发测试环境，经过适当调整后也可用于生产环境。