kubeadm certs

kubeadm certs 提供用于管理证书的实用工具。有关如何使用这些命令的更多详细信息,请参见使用 kubeadm 管理证书

kubeadm certs

Kubernetes 证书操作的集合。

与处理 Kubernetes 证书相关的命令

概要

与处理 Kubernetes 证书相关的命令

kubeadm certs [flags]

选项

-h, --help

certs 帮助

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

kubeadm certs renew

你可以使用 all 子命令续订所有 Kubernetes 证书,或者选择性地续订它们。有关更多详细信息,请参见手动续订证书

续订 Kubernetes 集群证书

概要

续订 Kubernetes 集群证书

kubeadm certs renew [flags]

选项

-h, --help

renew 帮助

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订所有可用证书

概要

续订运行控制平面所需的所有已知证书。续订无条件执行,无论证书是否已过期。也可以单独续订以获得更多控制。

kubeadm certs renew all [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

all 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订嵌入在 kubeconfig 文件中的证书,供管理员和 kubeadm 本身使用

概要

续订嵌入在 kubeconfig 文件中的证书,供管理员和 kubeadm 本身使用。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew admin.conf [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

admin.conf 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订 apiserver 用于访问 etcd 的证书

概要

续订 apiserver 用于访问 etcd 的证书。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew apiserver-etcd-client [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

apiserver-etcd-client 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订 API 服务器连接 kubelet 的证书

概要

续订 API 服务器连接 kubelet 的证书。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew apiserver-kubelet-client [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

apiserver-kubelet-client 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订用于提供 Kubernetes API 服务的证书

概要

续订用于提供 Kubernetes API 服务的证书。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew apiserver [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

apiserver 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订嵌入在 kubeconfig 文件中的证书,供 controller manager 使用

概要

续订嵌入在 kubeconfig 文件中的证书,供 controller manager 使用。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew controller-manager.conf [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

controller-manager.conf 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订用于存活探针检查 etcd 健康状况的证书

概要

续订用于存活探针检查 etcd 健康状况的证书。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew etcd-healthcheck-client [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

etcd-healthcheck-client 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订用于 etcd 节点相互通信的证书

概要

续订用于 etcd 节点相互通信的证书。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew etcd-peer [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

etcd-peer 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订用于提供 etcd 服务的证书

概要

续订用于提供 etcd 服务的证书。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew etcd-server [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

etcd-server 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订用于前置代理客户端的证书

概要

续订用于前置代理客户端的证书。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew front-proxy-client [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

front-proxy-client 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订嵌入在 kubeconfig 文件中的证书,供 scheduler manager 使用

概要

续订嵌入在 kubeconfig 文件中的证书,供 scheduler manager 使用。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew scheduler.conf [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

scheduler.conf 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

续订嵌入在 kubeconfig 文件中的证书,供超级管理员使用

概要

续订嵌入在 kubeconfig 文件中的证书,供超级管理员使用。

续订无条件执行,无论证书过期日期如何;附加属性(例如 SAN)将基于现有文件/证书,无需重新提供。

续订默认尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,也可以使用 K8s 证书 API 进行证书续订,或作为最后的选项,生成 CSR 请求。

续订后,为了使更改生效,需要重启控制平面组件,并且如果文件在其他地方使用,最终需要重新分发续订的证书。

kubeadm certs renew super-admin.conf [flags]

选项

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

super-admin.conf 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

kubeadm certs certificate-key

此命令可用于生成新的控制平面证书密钥。可以将该密钥作为 --certificate-key 参数传递给 kubeadm initkubeadm join 命令,以在加入其他控制平面节点时启用证书的自动复制。

生成证书密钥

概要

此命令将打印出一个安全随机生成的证书密钥,可与 “init” 命令一起使用。

你也可以使用 “kubeadm init --upload-certs” 命令而无需指定证书密钥,它将为你生成并打印一个密钥。

kubeadm certs certificate-key [flags]

选项

-h, --help

certificate-key 帮助

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

kubeadm certs check-expiration

此命令检查 kubeadm 管理的本地 PKI 中证书的过期情况。有关更多详细信息,请参见检查证书过期

检查 Kubernetes 集群证书过期情况

概要

检查 kubeadm 管理的本地 PKI 中证书的过期情况。

kubeadm certs check-expiration [flags]

选项

--allow-missing-template-keys     默认值: true

如果为 true,当模板中缺少字段或映射键时,忽略模板中的所有错误。仅适用于 golang 和 jsonpath 输出格式。

--cert-dir string     默认值: "/etc/kubernetes/pki"

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

check-expiration 帮助

--kubeconfig string     默认值: "/etc/kubernetes/admin.conf"

与集群通信时使用的 kubeconfig 文件。如果未设置此标志,则会在一组标准位置搜索现有的 kubeconfig 文件。

-o, --output string     默认值: "text"

输出格式。以下之一:text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file。

--show-managed-fields

如果为 true,在以 JSON 或 YAML 格式打印对象时保留 managedFields。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

kubeadm certs generate-csr

此命令可用于为所有控制平面证书和 kubeconfig 文件生成密钥和 CSR。然后,用户可以使用他们选择的 CA 签署 CSR。有关如何使用此命令的更多信息,请参见签署由 kubeadm 生成的证书签名请求 (CSR)

生成密钥和证书签名请求

概要

为运行控制平面所需的所有证书生成密钥和证书签名请求 (CSR)。此命令还会生成带有私钥数据的部分 kubeconfig 文件,私钥数据位于 “users > user > client-key-data” 字段中,并且为每个 kubeconfig 文件创建一个相应的 “.csr” 文件。

此命令设计用于Kubeadm 外部 CA 模式。它生成 CSR,你可以将其提交给你的外部证书颁发机构进行签名。

然后,应将 PEM 编码的已签名证书与密钥文件一起保存,使用 “.crt” 作为文件扩展名;对于 kubeconfig 文件,应将 PEM 编码的已签名证书进行 base64 编码,并添加到 kubeconfig 文件的 “users > user > client-certificate-data” 字段中。

kubeadm certs generate-csr [flags]

示例

  # The following command will generate keys and CSRs for all control-plane certificates and kubeconfig files:
  kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki

选项

--cert-dir string

保存证书的路径

--config string

kubeadm 配置文件的路径。

-h, --help

generate-csr 帮助

--kubeconfig-dir string     默认值: "/etc/kubernetes"

保存 kubeconfig 文件的路径。

从父命令继承的选项

--rootfs string

‘真实’主机根文件系统的路径。这将导致 kubeadm 切换到提供的路径中 (chroot)。

下一步

上次修改时间:2024 年 8 月 17 日下午 4:50 PST:更新生成的页面引用 (3b6f229424)