Serverless集群无法公网访问APIServer

1. 问题现象

Serverless集群开启了公网访问，客户端配置了kubeconfig，但是执行kubectl无法访问到集群，直接telnet公网访问clb的443端口也是不通，看clb的安全组是放通了443端口的。

公网访问Serverless集群的apiserver，链路是客户端--->clb--->Deployment:kubernetes-proxy(default)--->master(apiserver)，这里clb配置没问题，那说明是kubernetes-proxy这里可能异常了，看pod是正常running的，但是日志一直报错

2. 问题原因

看报错是tls握手失败，抓包发现是因为https访问新的域名化clb（类似lb-xxxxx-zw9a273lycj6durt.clb.sh-tencentclb.com），tls的client hello会被reset，reset的ttl与正常报文的ttl不同

http访问新的域名化clb（类似lb-xxxxx-zw9a273lycj6durt.clb.sh-tencentclb.com），会通过http 302 localtion跳转到CLB的默认域名阻断提示页面，可以参考文档https://cloud.tencent.com/document/product/214/105270

这里原因就是clb默认域名阻断导致的。

3. 解决方案

因为现在账号默认都是开启clb域名化，创建的出来的clb都是域名化，在Serverless控制台开启公网访问，会自动创建kubernetes-proxy-public这个公网类型的service，并关联创建出一个公网clb，然后将clb的公网域名配置到kubernetes-proxy

这个deployment的domains启动参数，domains这个参数的含义就是会将配置域名签到apiserver的证书里面

因为clb默认域名不能使用，那就只能用业务自己的域名，如何更换apiserver为业务自定义域名，可以如下操作

1. 首先确定下集群的访问域名，建议可以用集群id+业务域名，比如我的业务域名是niewx.cn，集群id是cls-xxxx，那域名就可以配置为cls-xxxx.niewx.cn。

2. 然后修改yaml将cls-xxxx.niewx.cn加到kubernetes-proxy这个deployment的domains启动参数中，更新重建pod

3. 在dns解析配置cname记录

4. 修改kubeconfig的server地址，改成业务自定义的域名

5. 保存后就可以正常访问了集群apiserver了