自定义集群API Server证书的SAN字段

ACK集群的API Server服务端证书中SAN(Subject Alternative Name)字段默认包括集群本地域名、API Server负载均衡的内网IP、API Server服务本地IP和公网EIP等字段。如果您有特殊的代理访问或跨域访问需求,可以通过控制台为新建集群或已有集群自定义SAN字段。

前提条件

已创建ACK托管集群ACK专有集群ACK Serverless集群。具体操作,请参见创建Kubernetes托管版集群创建Kubernetes专有版集群创建ACK Serverless集群

重要
  • ACK Serverless集群不支持在新建集群时自定义SAN字段,仅支持在已有集群中更新SAN字段。

  • ACK专有集群仅支持在新建集群时自定义SAN字段,不支持在已有集群中更新SAN字段。

SAN介绍

SAN是一项对X.509标准的扩展,它允许在SSL安全证书中使用subjectAltName字段将多种值(包括IP地址、域名、URI和电子邮件等)与证书关联。

自定义集群API Server证书的SAN字段

新建集群

本小节以创建ACK托管集群为例,说明如何在新建集群过程中自定义API Server证书的SAN字段。其他集群类型的操作类似。

在创建集群的集群配置,单击显示高级选项。在自定义证书SAN配置项中输入配置字段。具体操作,请参见创建Kubernetes托管版集群

说明

自定义证书SAN字段的配置,支持输入符合规范的自定义IP、域名和URI,多个字段以英文逗号(,)分隔。

an2

上图中的自定义证书SAN字段中包含两个域名和一个IP。

已有集群

重要

更新或修改自定义证书SAN会触发集群API Server短暂重启。请在业务低峰期操作。

  1. 登录容器服务管理控制台

  2. 在控制台左侧导航栏,单击集群

  3. 集群列表页面,单击目标集群名称或者目标集群右侧操作列下的详情

  4. 在集群信息管理页面选择基本信息页签,单击自定义证书SAN右侧的更新

  5. 更新自定义证书SAN对话框,配置自定义证书SAN字段,参数配置完成后,单击确定

相关文档

API Server的审计日志可以帮助您记录或追溯不同用户的日常操作。更多信息,请参见使用集群API Server审计功能