kubeadm certs
kubeadm certs 提供证书管理工具。有关这些命令的更多详细信息,请参阅 使用 kubeadm 进行证书管理。
kubeadm certs
用于操作 Kubernetes 证书的操作集合。
Synopsis
处理 Kubernetes 证书的命令
kubeadm certs [flags]
Options
| -h, --help | |
certs 的帮助 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
kubeadm certs renew
您可以使用 all 子命令续订所有 Kubernetes 证书,或选择性地续订它们。有关更多详细信息,请参阅 手动证书续订。
Synopsis
续订 Kubernetes 集群的证书
kubeadm certs renew [flags]
Options
| -h, --help | |
renew 的帮助 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
续订所有可用的证书
Synopsis
续订运行控制平面所需的所有已知证书。续订将无条件运行,无论证书是否已过期。也可以单独运行续订以获得更多控制。
kubeadm certs renew all [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
all 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订 admin 用于使用以及 kubeadm 本身嵌入在 kubeconfig 文件中的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew admin.conf [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
admin.conf 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订 apiserver 用于访问 etcd 的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew apiserver-etcd-client [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
apiserver-etcd-client 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订 API 服务器连接 kubelet 的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew apiserver-kubelet-client [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
apiserver-kubelet-client 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订用于提供 Kubernetes API 的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew apiserver [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
apiserver 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订 controller-manager 用于嵌入在 kubeconfig 文件中的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew controller-manager.conf [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
controller-manager.conf 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订用于存活探测以健康检查 etcd 的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew etcd-healthcheck-client [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
etcd-healthcheck-client 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订 etcd 节点之间通信的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew etcd-peer [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
etcd-peer 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订用于提供 etcd 服务的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew etcd-server [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
etcd-server 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订 front proxy client 的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew front-proxy-client [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
front-proxy-client 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订 scheduler manager 用于嵌入在 kubeconfig 文件中的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew scheduler.conf [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
scheduler.conf 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
Synopsis
续订 super-admin 用于嵌入在 kubeconfig 文件中的证书。
续订将无条件运行,无论证书是否已过期;额外的属性(如 SANs)将基于现有文件/证书,无需重新提供。
续订默认尝试使用 kubeadm 在本地 PKI 中管理的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书续订,或者作为最后的选择,生成 CSR 请求。
续订后,为了使更改生效,需要重启控制平面组件,并在证书在其他地方使用的情况下重新分发续订的证书。
kubeadm certs renew super-admin.conf [flags]
Options
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
super-admin.conf 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
kubeadm certs certificate-key
此命令可用于生成新的控制平面证书密钥。该密钥可以作为 --certificate-key 传递给 kubeadm init 和 kubeadm join,以启用在加入其他控制平面节点时自动复制证书。
生成证书密钥
Synopsis
此命令将输出一个安全的随机生成的证书密钥,可用于 "init" 命令。
您也可以使用 "kubeadm init --upload-certs" 而无需指定证书密钥,它将为您生成并输出一个。
kubeadm certs certificate-key [flags]
Options
| -h, --help | |
certificate-key 的帮助 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
kubeadm certs check-expiration
此命令检查 kubeadm 在本地 PKI 中管理的证书的过期情况。有关更多详细信息,请参阅 检查证书过期。
为 Kubernetes 集群检查证书过期情况
Synopsis
检查 kubeadm 在本地 PKI 中管理的证书的过期情况。
kubeadm certs check-expiration [flags]
Options
| --allow-missing-template-keys 默认值: true | |
如果为 true,则在模板中缺少字段或映射键时忽略模板中的任何错误。仅适用于 golang 和 jsonpath 输出格式。 | |
| --cert-dir string Default: "/etc/kubernetes/pki" | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
check-expiration 的帮助 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则会在一系列标准位置中搜索现有的 kubeconfig 文件。 | |
| -o, --output string 默认值: "text" | |
输出格式。可选值包括:text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file。 | |
| --show-managed-fields | |
如果为 true,则在以 JSON 或 YAML 格式打印对象时保留 managedFields。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
kubeadm certs generate-csr
此命令可用于为所有控制平面证书和 kubeconfig 文件生成密钥和 CSR。然后,用户可以使用自己选择的 CA 对 CSR 进行签名。要了解更多关于如何使用此命令的信息,请参阅 对 kubeadm 生成的证书签名请求 (CSR) 进行签名。
生成密钥和证书签名请求
Synopsis
生成运行控制平面所需的所有证书的密钥和证书签名请求 (CSR)。此命令还生成部分 kubeconfig 文件,其中在 "users > user > client-key-data" 字段中包含私钥数据,并且为每个 kubeconfig 文件创建一个附带的 ".csr" 文件。
此命令设计用于 Kubeadm 外部 CA 模式。它生成 CSR,您可以将其提交给外部证书颁发机构进行签名。
PEM 编码的签名证书应与密钥文件一起保存,文件扩展名为 ".crt",或者在 kubeconfig 文件的情况下,PEM 编码的签名证书应进行 base64 编码,并添加到 kubeconfig 文件中的 "users > user > client-certificate-data" 字段。
kubeadm certs generate-csr [flags]
示例
# The following command will generate keys and CSRs for all control-plane certificates and kubeconfig files:
kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
Options
| --cert-dir string | |
证书的保存路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
generate-csr 的帮助 | |
| --kubeconfig-dir string Default: "/etc/kubernetes" | |
kubeconfig 文件的保存路径。 | |
从父命令继承的选项
| --rootfs string | |
“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
下一步
- kubeadm init 用于引导 Kubernetes 控制平面节点
- kubeadm join 用于将节点连接到集群
- kubeadm reset 以撤销
kubeadm init或kubeadm join对此主机所做的任何更改。