操作场景

主题备用名称（Subject Alternative Name，缩写SAN）允许将IP地址、域名等值与证书关联。SAN通常用于TLS握手阶段客户端校验服务端证书中的SAN是否与客户端实际访问的IP地址或域名匹配。

当客户端无法直接访问集群内网私有IP地址或公网IP地址，如域名访问、DNAT访问等场景，此时可将能直接访问的IP地址或域名通过SAN的方式签入集群服务端证书，以支持客户端开启双向认证，提高安全性。

此外，跨域访问或代理访问场景可通过自定义SAN实现。域名访问场景的典型使用方式如下：

• 配置容器组的hostAliases或配置主机/etc/hosts，添加域名映射；

• 内网DNS使用，云解析服务支持配置集群弹性IP与自定义域名的映射关系；

• 自建DNS服务器，自行添加A记录。

添加自定义SAN

1. 登录CCE控制台；

2. 在集群列表中单击集群名称，进入集群信息页；

3. 点击“自定义证书SAN”旁的编辑按钮，在弹窗口中添加IP地址或域名，然后单击“确认”。

4. 专有版集群说明：

   1. 修改SAN会短暂重启kube-apiserver，一般3到10分钟后可看到修改后的端口范围，请耐心等待及避免在此期间操作集群；

   2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。

5. 托管版集群说明：

   1. 修改SAN会短暂重启kube-apiserver，一般耗时3到10分钟，请耐心等待及避免在此期间操作集群；

   2. 请输入域名或 IP，以英文逗号（,）分隔，单个域名长度不超过253个字符，最多32个。