自定义集群API Server证书SAN
ACK集群的API Server服务端证书中SAN(Subject Alternative Name)字段默认包括集群本地域名、API Server负载均衡的内网IP、API Server服务本地IP和公网EIP等字段。如果您有特殊的代理访问或跨域访问需求,可以通过自定义SAN字段实现。本文介绍新建集群如何自定义API Server证书SAN和已有集群如何自定义更新API Server证书SAN。
前提条件
目前支持托管版集群(ACK标准托管版集群、ACK Pro托管版集群等)及ACK Serverless集群。以下仅枚举三种托管版集群的创建方法,您只需要创建以下集群中的任意一种:
背景信息
SAN是一项对X.509标准的扩展,它允许在SSL安全证书中使用subjectAltName字段将多种值(包括IP地址、域名、URI和电子邮件等)与证书关联。
使用限制
创建ACK Serverless集群时不支持自定义API Server证书的SAN字段。
支持在已有ACK Serverless集群中自定义更新API Server证书的SAN字段。
自定义新建集群API Server证书SAN
本文以创建Kubernetes托管版集群为例说明新建集群如何自定义API Server证书SAN。
在创建集群的集群配置步骤,单击显示高级选项。在自定义证书SAN配置项中输入配置字段。具体操作,请参见创建Kubernetes托管版集群。
自定义证书SAN字段的配置,支持输入符合规范的自定义IP、域名和URI,多个字段以英文逗号(,)分隔。
上图中的自定义证书SAN字段中包含两个域名和一个IP。
更新已有集群API Server证书SAN
更新或修改自定义证书SAN会触发集群API Server短暂重启,请您在业务非高峰时段操作。
登录容器服务管理控制台。
在控制台左侧导航栏,单击集群。
在集群列表页面,单击目标集群名称或者目标集群右侧操作列下的详情。
在集群信息管理页面选择基本信息页签,单击自定义证书SAN右侧的更新。
在更新自定义证书SAN对话框中,配置自定义证书SAN字段。
参数配置完成后,单击确定。
