kubeadm certs
kubeadm certs 提供證書管理工具。有關這些命令的更多詳細資訊,請參閱 使用 kubeadm 進行證書管理。
kubeadm certs
用於操作 Kubernetes 證書的操作集合。
Synopsis
處理 Kubernetes 證書的命令
kubeadm certs [flags]
Options
| -h, --help | |
certs 的幫助 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
kubeadm certs renew
您可以使用 all 子命令續訂所有 Kubernetes 證書,或選擇性地續訂它們。有關更多詳細資訊,請參閱 手動證書續訂。
Synopsis
續訂 Kubernetes 叢集的證書
kubeadm certs renew [flags]
Options
| -h, --help | |
renew 的幫助 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
續訂所有可用的證書
Synopsis
續訂執行控制平面所需的所有已知證書。續訂將無條件執行,無論證書是否已過期。也可以單獨執行續訂以獲得更多控制。
kubeadm certs renew all [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
all 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂 admin 用於使用以及 kubeadm 本身嵌入在 kubeconfig 檔案中的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew admin.conf [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
admin.conf 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂 apiserver 用於訪問 etcd 的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew apiserver-etcd-client [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
apiserver-etcd-client 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂 API 伺服器連線 kubelet 的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew apiserver-kubelet-client [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
apiserver-kubelet-client 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂用於提供 Kubernetes API 的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew apiserver [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
apiserver 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂 controller-manager 用於嵌入在 kubeconfig 檔案中的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew controller-manager.conf [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
controller-manager.conf 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂用於存活探測以健康檢查 etcd 的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew etcd-healthcheck-client [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
etcd-healthcheck-client 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂 etcd 節點之間通訊的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew etcd-peer [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
etcd-peer 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂用於提供 etcd 服務的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew etcd-server [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
etcd-server 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂 front proxy client 的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew front-proxy-client [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
front-proxy-client 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂 scheduler manager 用於嵌入在 kubeconfig 檔案中的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew scheduler.conf [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
scheduler.conf 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
Synopsis
續訂 super-admin 用於嵌入在 kubeconfig 檔案中的證書。
續訂將無條件執行,無論證書是否已過期;額外的屬性(如 SANs)將基於現有檔案/證書,無需重新提供。
續訂預設嘗試使用 kubeadm 在本地 PKI 中管理的證書頒發機構;或者,可以使用 K8s 證書 API 進行證書續訂,或者作為最後的選擇,生成 CSR 請求。
續訂後,為了使更改生效,需要重啟控制平面元件,並在證書在其他地方使用的情況下重新分發續訂的證書。
kubeadm certs renew super-admin.conf [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
super-admin.conf 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
kubeadm certs certificate-key
此命令可用於生成新的控制平面證書金鑰。該金鑰可以作為 --certificate-key 傳遞給 kubeadm init 和 kubeadm join,以啟用在加入其他控制平面節點時自動複製證書。
生成證書金鑰
Synopsis
此命令將輸出一個安全的隨機生成的證書金鑰,可用於 "init" 命令。
您也可以使用 "kubeadm init --upload-certs" 而無需指定證書金鑰,它將為您生成並輸出一個。
kubeadm certs certificate-key [flags]
Options
| -h, --help | |
certificate-key 的幫助 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
kubeadm certs check-expiration
此命令檢查 kubeadm 在本地 PKI 中管理的證書的過期情況。有關更多詳細資訊,請參閱 檢查證書過期。
為 Kubernetes 叢集檢查證書過期情況
Synopsis
檢查 kubeadm 在本地 PKI 中管理的證書的過期情況。
kubeadm certs check-expiration [flags]
Options
| --allow-missing-template-keys 預設值: true | |
如果為 true,則在模板中缺少欄位或對映鍵時忽略模板中的任何錯誤。僅適用於 golang 和 jsonpath 輸出格式。 | |
| --cert-dir string Default: "/etc/kubernetes/pki" | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
check-expiration 的幫助 | |
| --kubeconfig string 預設值:"/etc/kubernetes/admin.conf" | |
與叢集通訊時使用的 kubeconfig 檔案。如果未設定該標誌,則會在一系列標準位置中搜索現有的 kubeconfig 檔案。 | |
| -o, --output string 預設值: "text" | |
輸出格式。可選值包括:text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file。 | |
| --show-managed-fields | |
如果為 true,則在以 JSON 或 YAML 格式列印物件時保留 managedFields。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
kubeadm certs generate-csr
此命令可用於為所有控制平面證書和 kubeconfig 檔案生成金鑰和 CSR。然後,使用者可以使用自己選擇的 CA 對 CSR 進行簽名。要了解更多關於如何使用此命令的資訊,請參閱 對 kubeadm 生成的證書籤名請求 (CSR) 進行簽名。
生成金鑰和證書籤名請求
Synopsis
生成執行控制平面所需的所有證書的金鑰和證書籤名請求 (CSR)。此命令還生成部分 kubeconfig 檔案,其中在 "users > user > client-key-data" 欄位中包含私鑰資料,並且為每個 kubeconfig 檔案建立一個附帶的 ".csr" 檔案。
此命令設計用於 Kubeadm 外部 CA 模式。它生成 CSR,您可以將其提交給外部證書頒發機構進行簽名。
PEM 編碼的簽名證書應與金鑰檔案一起儲存,副檔名為 ".crt",或者在 kubeconfig 檔案的情況下,PEM 編碼的簽名證書應進行 base64 編碼,並新增到 kubeconfig 檔案中的 "users > user > client-certificate-data" 欄位。
kubeadm certs generate-csr [flags]
示例
# The following command will generate keys and CSRs for all control-plane certificates and kubeconfig files:
kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
Options
| --cert-dir string | |
證書的儲存路徑 | |
| --config string | |
kubeadm 配置檔案路徑。 | |
| -h, --help | |
generate-csr 的幫助 | |
| --kubeconfig-dir string Default: "/etc/kubernetes" | |
kubeconfig 檔案的儲存路徑。 | |
從父命令繼承的選項
| --rootfs string | |
“真實”主機根檔案系統的路徑。這將導致 kubeadm chroot 到提供的路徑。 | |
下一步
- kubeadm init 用於引導 Kubernetes 控制平面節點
- kubeadm join 用於將節點連線到叢集
- kubeadm reset 以撤銷
kubeadm init或kubeadm join對此主機所做的任何更改。