Os clusters do Anthos em bare metal agora são o Google Distributed Cloud (somente software) em bare metal. Para mais informações, consulte a visão geral do produto.
Adicionar domínios ao certificado do servidor da API
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Um nome alternativo do assunto (SAN, na sigla em inglês) é um recurso de certificados SSL que permite
definir os nomes de domínio e subdomínios protegidos por um certificado. Em um
cluster do Google Distributed Cloud, os SANs padrão do certificado do servidor da API Kubernetes
incluem os endereços IP e VIP dos nós do plano de controle e os
nomes de DNS do Kubernetes. Com o recurso de SANs extras do certificado do servidor da API personalizado,
é possível adicionar outros domínios, subdomínios e endereços IP como SANs ao
certificado do servidor da API Kubernetes para o cluster.
Para especificar SANs personalizados para o certificado do servidor da API, use o campo
controlPlane.apiServerCertExtraSANs
na especificação de configuração do cluster. Esse campo recebe uma lista de nomes de domínio
e endereços IP. Este campo é opcional e mutável. Você pode adicionar e
atualizar esse campo ao criar um cluster ou a qualquer momento depois.
Quando você adiciona SANs extras ao criar um cluster, o certificado do servidor da API Kubernetes
inclui os domínios e endereços IP especificados adicionais quando o
cluster fica disponível.
Adicionar ou atualizar domínios de um cluster
Como o campo apiServerCertExtraSANs é mutável, você pode adicionar ou atualizar o
campo a qualquer momento para clusters atuais. Quando você modifica o campo apiServerCertExtraSANs no cluster, ele aciona as seguintes atividades:
Os controladores de cluster do Google Distributed Cloud regeneram o certificado do servidor da API para incluir os domínios extras modificados.
Os controladores do cluster reiniciam o servidor da API para recarregar o novo
certificado.
Os novos valores de apiServerCertExtraSANs são verificados por um webhook para
garantir que eles estejam em conformidade com as convenções de nome de domínio do
RFC 1035.
O pool de nós do plano de controle entra em um estado de reconciliação.
Control Plane Node Pool Status:Anthos Bare Metal Version:1.28.0-gke.435Anthos Bare Metal Versions:1.28.0-gke.435:3Conditions:...Last Transition Time:2023-11-15T18:23:49ZObserved Generation:1Reason:ReconcilingStatus:TrueType:Reconciling
O pool de nós fica pronto depois que a mudança é propagada para os servidores da API
do Kubernetes em cada nó do plano de controle.
Control Plane Node Pool Status:Anthos Bare Metal Version:1.28.0-gke.435Anthos Bare Metal Versions:1.28.0-gke.435:3Conditions:. . .Last Transition Time:2023-11-15T18:32:25ZObserved Generation:1Reason:ReconciliationCompletedStatus:FalseType:Reconciling
É possível que haja inatividade ao atualizar o campo SANs extra do certificado do servidor da API em um cluster em execução:
Em clusters de alta disponibilidade (HA), as instâncias do servidor da API são reiniciadas
sequencialmente. Ainda é possível interagir com o cluster durante a atualização do certificado, porque o balanceador de carga distribui solicitações para cada servidor de API.
No entanto, talvez você veja uma resposta indicando que o servidor da API está sendo encerrado. Se você receber essa resposta, tente novamente.
Em clusters que não são de alta disponibilidade, pode haver uma breve interrupção de cerca de um minuto enquanto
um servidor de API é reiniciado para recarregar o novo certificado.
A mudança leva de 5 a 20 minutos para ser propagada a todos os servidores de API, dependendo do
número de nós do plano de controle no cluster e da carga dele.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-14 UTC."],[],[],null,["A subject alternative name (SAN) is a feature of SSL certificates that lets you\ndefine the domain names and subdomains that are secured by a certificate. On an\nGoogle Distributed Cloud cluster, the default SANs for the Kubernetes API server\ncertificate include the IP and VIP addresses of the control plane nodes and the\nKubernetes DNS names. With the custom API server certificate extra SANs feature,\nyou can add additional domains, subdomains, and IP addresses as SANs to the\nKubernetes API server certificate for the cluster.\n\nTo specify custom SANs for the API server certificate, you use the\n[`controlPlane.apiServerCertExtraSANs`](/kubernetes-engine/distributed-cloud/bare-metal/docs/reference/cluster-config-ref#controlplane-apiservercertextrasans)\nfield in the cluster configuration spec. This field takes a list of domain names\nand IP addresses. This field is optional and mutable. You can add this field and\nupdate it when you create a cluster or any time after. \n\n ...\n kind: Cluster\n metadata:\n name: sample001\n namespace: cluster-sample001\n spec:\n type: user\n ...\n controlPlane:apiServerCertExtraSANs:\n - \"demo-dns.example.com\"\n - \"sample-dns.com\"\n nodePoolSpec:\n nodes:\n - address: 10.200.0.20\n clusterNetwork:\n ...\n\nAdd domains during cluster creation\n\nWhen you add extra SANs when you create a cluster, the Kubernetes API server\ncertificate includes the additional specified domains and IP addresses when the\ncluster becomes available.\n\nAdd or update domains for an existing cluster\n\nBecause the `apiServerCertExtraSANs` field is mutable, you can add or update the\nfield at any time for existing clusters. When you modify the\n`apiServerCertExtraSANs` field in the cluster, it triggers the following\nactivities:\n\n- The Google Distributed Cloud cluster controllers regenerate the API server\n certificate to include the modified extra domains.\n\n- The cluster controllers restart the API server to reload the new\n certificate.\n\n- The new values of `apiServerCertExtraSANs` are verified by a webhook to\n ensure that they conform to the [RFC 1035 domain name\n conventions](https://datatracker.ietf.org/doc/html/rfc1035).\n\n- The control plane node pool enters a reconciling state.\n\n Control Plane Node Pool Status:\n Anthos Bare Metal Version: 1.28.0-gke.435\n Anthos Bare Metal Versions:\n 1.28.0-gke.435: 3\n Conditions:\n ...\n Last Transition Time: 2023-11-15T18:23:49Z\n Observed Generation: 1Reason: Reconciling\n Status: True\n Type: Reconciling\n\n- The node pool becomes ready after the change propagates to the Kubernetes\n API servers on each control plane node.\n\n Control Plane Node Pool Status:\n Anthos Bare Metal Version: 1.28.0-gke.435\n Anthos Bare Metal Versions:\n 1.28.0-gke.435: 3\n Conditions:\n . . .\n Last Transition Time: 2023-11-15T18:32:25Z\n Observed Generation: 1Reason: ReconciliationCompleted\n Status: False\n Type: Reconciling\n\nYou might experience downtime when updating the API server certificate extra\nSANs field on a running cluster:\n\n- On high availability (HA) clusters, API server instances restart\n sequentially. You can still interact with the cluster during the certificate\n update, because the load balancer distributes requests to each API server.\n However, you might see a response indicating that the API server is shutting\n down. If you see this response, retry the request.\n\n- On non-HA clusters, there might be a brief outage of about one minute while\n an API server restarts to reload the new certificate.\n\nThe change takes 5-20 minutes to propagate to all API servers, depending on the\nnumber of control plane nodes in the cluster and the load of the cluster."]]
