Kubernetes-SIGS/Kind 项目：如何为 API 服务器证书添加额外 SANs

在 Kubernetes 集群的部署和管理过程中，安全通信是至关重要的。API 服务器证书的 Subject Alternative Names (SANs) 决定了哪些主机名或 IP 地址可以被客户端安全地连接。本文将详细介绍在 Kind (Kubernetes in Docker) 项目中如何为 API 服务器证书添加额外的 SANs。

为什么需要额外 SANs

在 Kind 集群的典型部署场景中，API 服务器证书默认包含一些预定义的 SANs，如服务 IP (10.96.0.1)、Docker 网络 IP (172.18.0.2) 和 0.0.0.0。然而，在某些特殊情况下，比如：

1. 临时云实例部署（如 AWS EC2）
2. 使用动态公共 IP 地址
3. 外部 CI 系统需要连接临时集群

当客户端尝试通过这些未包含在证书 SANs 中的地址连接 API 服务器时，会遇到 TLS 证书验证失败的错误。

解决方案：Kubeadm 配置补丁

Kind 项目提供了通过 Kubeadm Config Patches 来修改集群配置的能力。我们可以利用这个功能来为 API 服务器证书添加额外的 SANs。

配置示例

以下是一个完整的 Kind 集群配置示例，展示了如何为 API 服务器证书添加额外的 SANs：

kind: Cluster
name: local
apiVersion: kind.x-k8s.io/v1alpha4
networking:
  apiServerAddress: "0..0.0"
  apiServerPort: 6443
nodes:
  - role: control-plane
kubeadmConfigPatchesJSON6902:
- group: kubeadm.k8s.io
  version: v1beta3
  kind: ClusterConfiguration
  patch: |
    - op: add
      path: /apiServer/certSANs/-
      value: YOUR_SAN_GOES_HERE
    - op: add
      path: /apiServer/certSANs/-
      value: YOUR_ANOTHER_SAN_GOES_HERE

配置说明

1. apiServerAddress：设置为 "0.0.0.0" 允许从任何网络接口访问 API 服务器
2. kubeadmConfigPatchesJSON6902：使用 JSON6902 补丁格式修改 Kubeadm 配置
3. /apiServer/certSANs/-：向 certSANs 数组末尾添加新的 SAN 条目

实际应用场景

假设我们有一个在 AWS EC2 上临时运行的 Kind 集群，需要让外部 CI 系统通过公共 IP 地址访问：

1. EC2 实例有一个内部 IP (如 10.0.0.1) 和公共 IP (如 18.118.189.168)
2. 将 apiServerAddress 设置为 "0.0.0.0" 避免绑定特定 IP 的问题
3. 在 certSANs 中添加公共 IP 地址 (18.118.189.168)
4. 外部 CI 系统现在可以安全地连接到 API 服务器

注意事项

1. 修改 apiServerAddress 通常不推荐，除非完全理解其影响
2. 添加 SANs 会略微降低安全性，应仅添加必要的地址
3. 对于生产环境，建议使用更正式的证书管理方案
4. 确保添加的 SANs 与实际的网络配置匹配

通过这种配置方式，用户可以灵活地适应各种网络环境需求，同时保持 Kubernetes 集群的安全通信能力。