ACK集群的API Server服务端证书中SAN(Subject Alternative Name)字段默认包括集群本地域名、API Server负载均衡的内网IP、API Server服务本地IP和公网EIP等字段。如果您有特殊的代理访问或跨域访问需求,可以通过控制台为新建集群或已有集群自定义SAN字段。
前提条件
已创建ACK托管集群、ACK专有集群或ACK Serverless集群。具体操作,请参见创建Kubernetes托管版集群、创建Kubernetes专有版集群或创建ACK Serverless集群。
ACK Serverless集群不支持在新建集群时自定义SAN字段,仅支持在已有集群中更新SAN字段。
ACK专有集群仅支持在新建集群时自定义SAN字段,不支持在已有集群中更新SAN字段。
SAN介绍
SAN是一项对X.509标准的扩展,它允许在SSL安全证书中使用subjectAltName
字段将多种值(包括IP地址、域名、URI和电子邮件等)与证书关联。
自定义集群API Server证书的SAN字段
新建集群
本小节以创建ACK托管集群为例,说明如何在新建集群过程中自定义API Server证书的SAN字段。其他集群类型的操作类似。
在创建集群的集群配置,单击显示高级选项。在自定义证书SAN配置项中输入配置字段。具体操作,请参见创建Kubernetes托管版集群。
自定义证书SAN字段的配置,支持输入符合规范的自定义IP、域名和URI,多个字段以英文逗号(,)分隔。
上图中的自定义证书SAN字段中包含两个域名和一个IP。
已有集群
更新或修改自定义证书SAN会触发集群API Server短暂重启。请在业务低峰期操作。
登录容器服务管理控制台。
在控制台左侧导航栏,单击集群。
在集群列表页面,单击目标集群名称或者目标集群右侧操作列下的详情。
在集群信息管理页面选择基本信息页签,单击自定义证书SAN右侧的更新。
在更新自定义证书SAN对话框,配置自定义证书SAN字段,参数配置完成后,单击确定。
相关文档
API Server的审计日志可以帮助您记录或追溯不同用户的日常操作。更多信息,请参见使用集群API Server审计功能。