操作場景

主題備用名稱（Subject Alternative Name，縮寫SAN）允許將IP地址、域名等值與證書關聯。SAN通常用于TLS握手階段客戶端校驗服務端證書中的SAN是否與客戶端實際訪問的IP地址或域名匹配。

當客戶端無法直接訪問集群內網私有IP地址或公網IP地址，如域名訪問、DNAT訪問等場景，此時可將能直接訪問的IP地址或域名通過SAN的方式簽入集群服務端證書，以支持客戶端開啟雙向認證，提高安全性。

此外，跨域訪問或代理訪問場景可通過自定義SAN實現。域名訪問場景的典型使用方式如下：

• 配置容器組的hostAliases或配置主機/etc/hosts，添加域名映射；

• 內網DNS使用，云解析服務支持配置集群彈性IP與自定義域名的映射關系；

• 自建DNS服務器，自行添加A記錄。

添加自定義SAN

1. 登錄CCE控制臺；

2. 在集群列表中單擊集群名稱，進入集群信息頁；

3. 點擊“自定義證書SAN”旁的編輯按鈕，在彈窗口中添加IP地址或域名，然后單擊“確認”。

4. 專有版集群說明：

   1. 修改SAN會短暫重啟kube-apiserver，一般3到10分鐘后可看到修改后的端口范圍，請耐心等待及避免在此期間操作集群；

   2. 請輸入域名或 IP，以英文逗號（,）分隔，單個域名長度不超過253個字符，最多32個。

5. 托管版集群說明：

   1. 修改SAN會短暫重啟kube-apiserver，一般耗時3到10分鐘，請耐心等待及避免在此期間操作集群；

   2. 請輸入域名或 IP，以英文逗號（,）分隔，單個域名長度不超過253個字符，最多32個。