kubeadm certs
kubeadm certs 提供用于管理证书的工具。有关如何使用这些命令的更多详细信息,请参阅 使用 kubeadm 管理证书。
kubeadm certs
用于操作 Kubernetes 证书的一系列操作。
概要
与处理 Kubernetes 证书相关的命令
kubeadm certs [flags]
选项
| -h, --help | |
certs 的帮助信息 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
kubeadm certs renew
您可以使用 all 子命令来更新所有 Kubernetes 证书,也可以选择性地更新它们。有关更多详细信息,请参阅 手动更新证书。
概要
更新 Kubernetes 集群的证书
kubeadm certs renew [flags]
选项
| -h, --help | |
renew 的帮助信息 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
更新所有可用的证书
概要
更新运行控制平面的所有已知证书。更新将无条件运行,无论到期日期如何。更新也可以单独运行以获得更多控制。
kubeadm certs renew all [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
all 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新嵌入在 kubeconfig 文件中的 admin 用户的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew admin.conf [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
admin.conf 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新 apiserver 用于访问 etcd 的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew apiserver-etcd-client [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
apiserver-etcd-client 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新 API 服务器连接到 kubelet 的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew apiserver-kubelet-client [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
apiserver-kubelet-client 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新用于提供 Kubernetes API 的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew apiserver [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
apiserver 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新嵌入在 kubeconfig 文件中的控制器管理器使用的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew controller-manager.conf [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
controller-manager.conf 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新用于存活探测以健康检查 etcd 的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew etcd-healthcheck-client [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
etcd-healthcheck-client 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新 etcd 节点之间通信的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew etcd-peer [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
etcd-peer 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新用于提供 etcd 的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew etcd-server [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
etcd-server 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新前端代理客户端的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew front-proxy-client [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
front-proxy-client 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新嵌入在 kubeconfig 文件中的调度器管理器使用的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew scheduler.conf [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
scheduler.conf 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
概要
更新嵌入在 kubeconfig 文件中的超级管理员的证书。
更新将无条件运行,无论证书到期日期如何;额外的属性(例如 SAN)将基于现有文件/证书,无需重新提供它们。
默认情况下,更新尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;或者,可以使用 K8s 证书 API 进行证书更新,或者作为最后的选择,生成 CSR 请求。
更新后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书(如果该文件在其他地方使用)。
kubeadm certs renew super-admin.conf [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
super-admin.conf 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
kubeadm certs certificate-key
此命令可用于生成新的控制平面证书密钥。可以将密钥作为 --certificate-key 传递给 kubeadm init 和 kubeadm join,以便在加入其他控制平面节点时启用证书的自动复制。
生成证书密钥
概要
此命令将打印出一个安全的随机生成的证书密钥,可用于 "init" 命令。
您还可以使用 "kubeadm init --upload-certs" 而不指定证书密钥,它将为您生成并打印一个。
kubeadm certs certificate-key [flags]
选项
| -h, --help | |
certificate-key 的帮助信息 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
kubeadm certs check-expiration
此命令检查 kubeadm 管理的本地 PKI 中的证书的到期情况。有关更多详细信息,请参阅 检查证书到期情况。
检查 Kubernetes 集群的证书到期情况
概要
检查 kubeadm 管理的本地 PKI 中的证书的到期情况。
kubeadm certs check-expiration [flags]
选项
| --allow-missing-template-keys 默认值:true | |
如果为 true,则在模板中缺少字段或映射键时忽略模板中的任何错误。仅适用于 golang 和 jsonpath 输出格式。 | |
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
check-expiration 的帮助信息 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以搜索一组标准位置以查找现有的 kubeconfig 文件。 | |
| -o, --output string 默认值: "text" | |
输出格式。可以是: text|json|yaml|kyaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file。 | |
| --show-managed-fields | |
如果为 true,则在 JSON 或 YAML 格式中打印对象时保留 managedFields。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
kubeadm certs generate-csr
此命令可用于为所有控制平面证书和 kubeconfig 文件生成密钥和 CSR。然后用户可以使用他们选择的 CA 对 CSR 进行签名。要了解有关如何使用该命令的更多信息,请参阅 签名 kubeadm 生成的证书签名请求 (CSR)。
生成密钥和证书签名请求
概要
为运行控制平面所需的所有证书生成密钥和证书签名请求 (CSR)。此命令还会生成带有私钥数据的 "users > user > client-key-data" 字段中的部分 kubeconfig 文件,并为每个 kubeconfig 文件创建一个带有 ".csr" 后缀的配套文件。
此命令旨在用于 Kubeadm 外部 CA 模式。它生成 CSR,然后您可以提交给外部证书颁发机构进行签名。
使用 PEM 编码的已签名证书应与密钥文件一起保存,文件扩展名为 ".crt",或者对于 kubeconfig 文件,PEM 编码的已签名证书应进行 base64 编码并添加到 kubeconfig 文件中的 "users > user > client-certificate-data" 字段中。
kubeadm certs generate-csr [flags]
示例
# The following command will generate keys and CSRs for all control-plane certificates and kubeconfig files:
kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
选项
| --cert-dir string | |
保存证书的路径 | |
| --config string | |
kubeadm 配置文件路径。 | |
| -h, --help | |
generate-csr 的帮助信息 | |
| --kubeconfig-dir string 默认值: "/etc/kubernetes" | |
保存 kubeconfig 文件的路径。 | |
从父命令继承的选项
| --rootfs string | |
指向“真实”主机根文件系统的路径。这将导致 kubeadm chroot 到提供的路径。 | |
接下来
- kubeadm init 启动 Kubernetes 控制平面节点
- kubeadm join 将节点连接到集群
- kubeadm reset 撤消此主机上由
kubeadm init或kubeadm join做的任何更改