kubeadm certs

kubeadm certs 提供用于管理证书的实用程序。有关如何使用这些命令的更多详细信息,请参阅 使用 kubeadm 管理证书

kubeadm certs

用于操作 Kubernetes 证书的一组操作。

与处理 Kubernetes 证书相关的命令

概要

与处理 Kubernetes 证书相关的命令

kubeadm certs [flags]

选项

-h, --help

certs 的帮助信息

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

kubeadm certs renew

您可以使用 all 子命令更新所有 Kubernetes 证书,或选择性地更新它们。有关更多详细信息,请参阅 手动证书更新

更新 Kubernetes 集群的证书

概要

此命令不应单独运行。请参阅可用子命令的列表。

kubeadm certs renew [flags]

选项

-h, --help

renew 的帮助信息

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新所有可用的证书

概要

更新运行控制平面所需的所有已知证书。更新将无条件运行,而与到期日期无关。更新也可以单独运行以进行更多控制。

kubeadm certs renew all [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

all 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新嵌入在 kubeconfig 文件中的证书,供管理员使用和 kubeadm 本身使用

概要

更新嵌入在 kubeconfig 文件中的证书,供管理员使用和 kubeadm 本身使用。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew admin.conf [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

admin.conf 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新 apiserver 用于访问 etcd 的证书

概要

更新 apiserver 用于访问 etcd 的证书。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew apiserver-etcd-client [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

apiserver-etcd-client 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新 API 服务器连接到 kubelet 的证书

概要

更新 API 服务器连接到 kubelet 的证书。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew apiserver-kubelet-client [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

apiserver-kubelet-client 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新用于提供 Kubernetes API 的证书

概要

更新用于提供 Kubernetes API 的证书。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew apiserver [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

apiserver 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新嵌入在 kubeconfig 文件中的证书,供控制器管理器使用

概要

更新嵌入在 kubeconfig 文件中的证书,供控制器管理器使用。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew controller-manager.conf [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

controller-manager.conf 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新用于运行状况探测以检查 etcd 的证书

概要

更新用于运行状况探测以检查 etcd 的证书。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew etcd-healthcheck-client [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

etcd-healthcheck-client 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新 etcd 节点之间相互通信的证书

概要

更新 etcd 节点之间相互通信的证书。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew etcd-peer [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

etcd-peer 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新用于提供 etcd 的证书

概要

更新用于提供 etcd 的证书。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew etcd-server [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

etcd-server 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新前端代理客户端的证书

概要

更新前端代理客户端的证书。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew front-proxy-client [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

front-proxy-client 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新嵌入在 kubeconfig 文件中的证书,供调度程序管理器使用

概要

更新嵌入在 kubeconfig 文件中的证书,供调度程序管理器使用。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew scheduler.conf [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

scheduler.conf 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

更新嵌入在 kubeconfig 文件中的证书,供超级管理员使用

概要

更新嵌入在 kubeconfig 文件中的证书,供超级管理员使用。

更新将无条件运行,而与证书到期日期无关;其他属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。

更新默认情况下会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书更新,或者作为最后一种选择,生成 CSR 请求。

更新后,需要重新启动控制平面组件,并且如果文件在其他地方使用,则可能需要重新分发更新的证书,才能使更改生效。

kubeadm certs renew super-admin.conf [flags]

选项

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

super-admin.conf 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

kubeadm certs certificate-key

此命令可用于生成新的控制平面证书密钥。该密钥可以作为 --certificate-key 传递给 kubeadm initkubeadm join,以在加入其他控制平面节点时启用证书的自动复制。

生成证书密钥

概要

此命令将打印出可与“init”命令一起使用的安全随机生成的证书密钥。

您还可以使用“kubeadm init --upload-certs”而不指定证书密钥,它将为您生成并打印一个证书密钥。

kubeadm certs certificate-key [flags]

选项

-h, --help

certificate-key 的帮助信息

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

kubeadm certs check-expiration

此命令检查 kubeadm 管理的本地 PKI 中证书的到期情况。有关更多详细信息,请参阅 检查证书到期时间

检查 Kubernetes 集群的证书到期时间

概要

检查 kubeadm 管理的本地 PKI 中证书的到期时间。

kubeadm certs check-expiration [flags]

选项

--allow-missing-template-keys     Default: true

如果为 true,则忽略模板中字段或映射键丢失时的任何模板错误。仅适用于 golang 和 jsonpath 输出格式。

--cert-dir string     Default: "/etc/kubernetes/pki"

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-o, --experimental-output string     Default: "text"

输出格式。以下选项之一:text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file。

-h, --help

check-expiration 的帮助信息

--kubeconfig string     Default: "/etc/kubernetes/admin.conf"

与集群通信时要使用的 kubeconfig 文件。如果未设置此标志,则会搜索一组标准位置以查找现有的 kubeconfig 文件。

--show-managed-fields

如果为 true,则在以 JSON 或 YAML 格式打印对象时保留 managedFields。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

kubeadm certs generate-csr

此命令可用于为所有控制平面证书和 kubeconfig 文件生成密钥和 CSR。然后,用户可以使用他们选择的 CA 对 CSR 进行签名。要阅读有关如何使用该命令的更多信息,请参阅 签名 kubeadm 生成的证书签名请求 (CSR)

生成密钥和证书签名请求

概要

为运行控制平面所需的所有证书生成密钥和证书签名请求 (CSR)。此命令还会生成部分 kubeconfig 文件,这些文件在“users > user > client-key-data”字段中包含私钥数据,并且为每个 kubeconfig 文件创建相应的“.csr”文件。

此命令旨在在 Kubeadm 外部 CA 模式 中使用。它会生成 CSR,然后您可以将这些 CSR 提交给外部证书颁发机构进行签名。

然后应将 PEM 编码的已签名证书与密钥文件一起保存,使用“.crt”作为文件扩展名,或者在 kubeconfig 文件的情况下,应将 PEM 编码的已签名证书进行 base64 编码并添加到“users > user > client-certificate-data”字段中的 kubeconfig 文件中。

kubeadm certs generate-csr [flags]

示例

  # The following command will generate keys and CSRs for all control-plane certificates and kubeconfig files:
  kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki

选项

--cert-dir string

保存证书的路径

--config string

指向 kubeadm 配置文件的路径。

-h, --help

generate-csr 的帮助信息

--kubeconfig-dir string     Default: "/etc/kubernetes"

保存 kubeconfig 文件的路径。

从父命令继承的选项

--rootfs string

[实验性] 指向“真实”主机根文件系统的路径。

下一步

上次修改时间:2023 年 11 月 09 日,太平洋标准时间下午 1:44:kubeadm:添加有关如何使用“generate-csr”命令的部分 (d174742c46)