🛠 Kubernetes에서 certSANs에 신규 IP 추가하기

📌 문제 개요

Kubernetes 클러스터에서 kubectl get node 명령을 실행할 때, 다음과 같은 TLS 인증서 오류가 발생할 수 있습니다.

root@master1:~# k get node
Unable to connect to the server: tls: failed to verify certificate: x509: certificate is valid for
10.96.0.1, 192.168.135.51, 192.168.135.50, 127.0.0.1, 192.168.135.52, 192.168.135.53, not 192.168.135.25

🔍 오류 분석:

인증서의 Subject Alternative Name (SAN) 목록에 192.168.135.25가 포함되지 않아 인증 실패
해결하려면 API 서버의 인증서를 갱신하고, 새로운 IP를 certSANs에 추가해야 함

💡 이 문제가 발생하는 주요 시나리오

NAT(Network Address Translation)된 IP를 통해 클러스터를 제어하려는 경우
- 내부 IP와 외부에서 접근할 IP가 다를 때, API 서버의 인증서에 외부 IP가 포함되지 않으면 TLS 오류 발생

🔎 1. 현재 SAN 목록 확인

먼저, 현재 인증서의 SAN 목록을 확인하여 새로운 IP가 포함되지 않았는지 점검합니다.

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -text -noout | grep -A 1 "Subject Alternative Name

📌 출력 예시:

X509v3 Subject Alternative Name:
    IP Address:10.96.0.1, IP Address:192.168.135.51, IP Address:192.168.135.50,
    IP Address:127.0.0.1, IP Address:192.168.135.52, IP Address:192.168.135.5

🚨 192.168.135.25이 빠져 있다면, certSANs 설정을 수정해야 합니다.

🔧 2. kubeadm-config 수정 및 IP 추가

🔹 현재 설정 파일 가져오기

먼저, 현재 kubeadm-config 설정을 확인하고 백업합니다.

kubectl get configmap kubeadm-config -n kube-system -o jsonpath='{.data.ClusterConfiguration}' > kubeadm-config.yaml
cp kubeadm-config.yaml kubeadm-config-backup.yaml  # 백업

🔹 certSANs에 신규 IP 추가

이제 kubeadm-config.yaml 파일을 열어 certSANs 항목에 192.168.135.25을 추가합니다.

apiServer: # 없는 경우 신규 추가
  certSANs:
  - 127.0.0.1
  - 192.168.135.50
  - 192.168.135.51
  - 192.168.135.52
  - 192.168.135.53
  - 192.168.135.25  # 신규 IP 추가
  extraArgs:
    authorization-mode: Node,RBAC
  timeoutForControlPlane: 4m0s
apiVersion: kubeadm.k8s.io/v1beta3
certificatesDir: /etc/kubernetes/pki
controlPlaneEndpoint: 192.168.135.50:6443
kind: ClusterConfiguration

📌 변경사항 저장 후 다음 단계로 이동합니다.

🔄 3. 인증서 갱신 및 적용

이제 API 서버 인증서를 새롭게 생성합니다.

🔹 1) 기존 인증서 백업

안전한 작업을 위해 기존 인증서를 백업해 둡니다.

mkdir -p /etc/kubernetes/pki/backup
mv /etc/kubernetes/pki/apiserver.* /etc/kubernetes/pki/backup

🔹 2) 새로운 인증서 생성

다음 명령어를 실행하여 새로운 SAN이 적용된 인증서를 생성합니다.

kubeadm init phase certs apiserver --config=kubeadm-config.yam

📌 명령어 실행 후 /etc/kubernetes/pki/apiserver.crt 파일이 새롭게 생성됩니다.

🔄 4. API 서버 및 Kubelet 재시작

이제 새로운 인증서를 적용하기 위해 Kubernetes API 서버와 Kubelet을 재시작합니다.

systemctl restart kubelet
docker restart $(docker ps -q --filter "name=k8s_kube-apiserver

컨테이너 런타임이 containerd인 경우:

crictl ps | grep kube-apiserver | awk '{print $1}' | xargs crictl sto

✅ 5. 적용 확인 및 검증

🔹 1) 새로운 SAN 목록 확인

변경 사항이 적용되었는지 확인합니다.

openssl x509 -in /etc/kubernetes/pki/apiserver.crt -text -noout | grep -A 1 "Subject Alternative Name"

📌 출력 예시 (새로운 IP가 추가됨):

X509v3 Subject Alternative Name:
    IP Address:10.96.0.1, IP Address:192.168.135.51, IP Address:192.168.135.50,
    IP Address:127.0.0.1, IP Address:192.168.135.52, IP Address:192.168.135.53,
    IP Address:192.168.135.25  # ✅ 추가된 IP 확인

🔹 2) Kubernetes 정상 작동 확인

이제 kubectl get nodes 명령을 실행하여 정상적으로 작동하는지 확인합니다.

kubectl get nodes

📌 정상적인 출력 예시:

NAME        STATUS   ROLES           AGE   VERSION
master1     Ready    control-plane   50d   v1.27.14
worker1     Ready    worker          30d   v1.27.14
worker2     Ready    worker          30d   v1.27.14

🚀 이제 새로운 IP로도 Kubernetes API 서버에 접근할 수 있습니다! 🎉

⚠️ 추가 주의사항

이 작업을 수행하기 전 반드시 클러스터 및 인증서 백업을 해두세요.
만약 kubeadm 없이 수동 설치된 Kubernetes 환경이라면, 직접 apiserver 매니페스트를 수정해야 할 수도 있습니다.
인증서 변경 후에도 문제가 지속된다면, kube-controller-manager와 kube-scheduler도 재시작하세요.

이제 Kubernetes API 서버의 certSANs 목록에 신규 IP를 추가하는 방법을 익혔습니다.

다시 요약하자면:

1️⃣ 현재 SAN 목록 확인

2️⃣ kubeadm-config 수정

3️⃣ 새로운 인증서 생성

4️⃣ API 서버 및 Kubelet 재시작

5️⃣ 정상적으로 반영되었는지 확인

이제 클러스터에서 새로운 IP로도 TLS 인증 오류 없이 안전하게 접근할 수 있습니다! 🚀