首页
/ MicroK8s中配置API服务器证书使用主机名的技术方案

MicroK8s中配置API服务器证书使用主机名的技术方案

2025-05-26 13:16:40作者:胡唯隽

在Kubernetes集群的日常运维中,我们经常需要从集群内部或外部通过主机名访问API服务器。MicroK8s作为轻量级Kubernetes发行版,其默认配置使用环回地址或节点IP作为API服务器证书的主题备用名称(SAN),这可能导致通过主机名访问时出现TLS证书验证错误。本文将详细介绍如何配置MicroK8s使用主机名作为API服务器证书的合法SAN。

问题背景

MicroK8s默认生成的API服务器证书仅包含以下SAN:

  • 本地环回地址(127.0.0.1)
  • 服务CIDR中的第一个IP
  • 节点实际IP地址
  • Kubernetes服务DNS名称

当用户尝试通过节点主机名访问API服务器时,由于主机名不在证书的SAN列表中,TLS握手会失败并报错"x509: certificate is valid for [其他名称], not [主机名]"。

解决方案

MicroK8s提供了通过调整启动配置来扩展API服务器证书SAN列表的功能。具体步骤如下:

1. 编辑MicroK8s启动配置

使用以下命令编辑MicroK8s的启动配置文件:

sudo microk8s stop
sudo vim /var/snap/microk8s/current/args/kube-apiserver

2. 添加extraSANs参数

在kube-apiserver的启动参数中添加或修改以下行:

--extra-sans=your-hostname,your-fully-qualified-domain-name

其中:

  • your-hostname是节点的主机名(hostname)
  • your-fully-qualified-domain-name是完全限定域名(FQDN)

3. 重启MicroK8s并重新生成证书

保存修改后,执行以下命令:

sudo microk8s start
sudo microk8s refresh-certs -e server

4. 验证配置

检查新证书是否包含主机名:

openssl x509 -in /var/snap/microk8s/current/certs/server.crt -text -noout | grep DNS

高级配置

对于生产环境,建议考虑以下增强配置:

  1. 多节点集群:在所有节点上统一配置相同的主机名和域名
  2. 通配符证书:对于大规模集群,可以考虑使用通配符证书
  3. 证书自动更新:配置证书自动轮换机制,确保证书过期前自动更新

注意事项

  1. 调整证书配置会导致短暂的API服务中断
  2. 在多节点集群中,需要确保所有节点的时间同步(NTP)
  3. 证书变更后,可能需要更新kubeconfig文件中的服务器地址

结语

通过合理配置MicroK8s的API服务器证书SAN列表,可以实现通过主机名安全访问集群API,这对于构建自动化运维体系和实现灵活的网络拓扑至关重要。本文介绍的方法不仅适用于开发测试环境,经过适当调整后也可用于生产环境。

登录后查看全文
热门项目推荐
相关项目推荐