kubeadm certs
kubeadm certs 提供用於管理憑證的公用程式。如需如何使用這些命令的詳細資訊,請參閱使用 kubeadm 進行憑證管理。
kubeadm certs
用於操作 Kubernetes 憑證的作業集合。
與處理 Kubernetes 憑證相關的命令
概要
與處理 Kubernetes 憑證相關的命令
kubeadm certs [flags]
選項
| -h, --help | |
certs 的說明 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
kubeadm certs renew
您可以使用 all 子命令續訂所有 Kubernetes 憑證,或選擇性地續訂它們。如需更多詳細資訊,請參閱手動憑證續訂。
續訂 Kubernetes 叢集的憑證
概要
續訂 Kubernetes 叢集的憑證
kubeadm certs renew [flags]
選項
| -h, --help | |
renew 的說明 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂所有可用的憑證
概要
續訂執行控制平面所需的所有已知憑證。續訂會無條件執行,無論到期日為何。續訂也可以單獨執行以獲得更多控制。
kubeadm certs renew all [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
all 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂嵌入在 kubeconfig 檔案中的憑證,供管理員使用和 kubeadm 本身使用
概要
續訂嵌入在 kubeconfig 檔案中的憑證,供管理員使用和 kubeadm 本身使用。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew admin.conf [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
admin.conf 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂 apiserver 用於存取 etcd 的憑證
概要
續訂 apiserver 用於存取 etcd 的憑證。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew apiserver-etcd-client [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
apiserver-etcd-client 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂 API 伺服器連線到 kubelet 的憑證
概要
續訂 API 伺服器連線到 kubelet 的憑證。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew apiserver-kubelet-client [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
apiserver-kubelet-client 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂用於服務 Kubernetes API 的憑證
概要
續訂用於服務 Kubernetes API 的憑證。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew apiserver [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
apiserver 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂嵌入在 kubeconfig 檔案中的憑證,供控制器管理員使用
概要
續訂嵌入在 kubeconfig 檔案中的憑證,供控制器管理員使用。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew controller-manager.conf [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
controller-manager.conf 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂用於存活度探針以健康狀態檢查 etcd 的憑證
概要
續訂用於存活度探針以健康狀態檢查 etcd 的憑證。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew etcd-healthcheck-client [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
etcd-healthcheck-client 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂用於 etcd 節點彼此通訊的憑證
概要
續訂用於 etcd 節點彼此通訊的憑證。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew etcd-peer [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
etcd-peer 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂用於服務 etcd 的憑證
概要
續訂用於服務 etcd 的憑證。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew etcd-server [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
etcd-server 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂 front proxy 用戶端的憑證
概要
續訂 front proxy 用戶端的憑證。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew front-proxy-client [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
front-proxy-client 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂嵌入在 kubeconfig 檔案中的憑證,供排程器管理員使用
概要
續訂嵌入在 kubeconfig 檔案中的憑證,供排程器管理員使用。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew scheduler.conf [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
scheduler.conf 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
續訂嵌入在 kubeconfig 檔案中的憑證,供超級管理員使用
概要
續訂嵌入在 kubeconfig 檔案中的憑證,供超級管理員使用。
續訂無條件執行,無論憑證到期日為何;額外的屬性(例如 SAN)將基於現有的檔案/憑證,無需重新提供它們。
預設情況下,續訂嘗試使用 kubeadm 管理的本機 PKI 中的憑證授權單位;作為替代方案,可以使用 K8s 憑證 API 進行憑證續訂,或者作為最後的選項,產生 CSR 請求。
續訂後,為了使變更生效,需要重新啟動控制平面元件,並在檔案在其他地方使用時,最終重新分配續訂的憑證。
kubeadm certs renew super-admin.conf [flags]
選項
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
super-admin.conf 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
kubeadm certs certificate-key
此命令可用於產生新的控制平面憑證金鑰。金鑰可以作為 --certificate-key 傳遞給 kubeadm init 和 kubeadm join,以在加入額外的控制平面節點時啟用憑證的自動複製。
產生憑證金鑰
概要
此命令將印出一個安全的隨機產生憑證金鑰,可用於 "init" 命令。
您也可以使用 "kubeadm init --upload-certs",無需指定憑證金鑰,它將為您產生並印出一個。
kubeadm certs certificate-key [flags]
選項
| -h, --help | |
certificate-key 的說明 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
kubeadm certs check-expiration
此命令檢查 kubeadm 管理的本地 PKI 中憑證的到期時間。如需更多詳細資訊,請參閱 檢查憑證到期時間。
檢查 Kubernetes 叢集中憑證的到期時間
概要
檢查 kubeadm 管理的本地 PKI 中憑證的到期時間。
kubeadm certs check-expiration [flags]
選項
| --allow-missing-template-keys 預設值:true | |
如果為 true,則在範本中遺失欄位或映射鍵時,忽略範本中的任何錯誤。僅適用於 golang 和 jsonpath 輸出格式。 | |
| --cert-dir string 預設值: "/etc/kubernetes/pki" | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
check-expiration 的說明 | |
| --kubeconfig string 預設值: "/etc/kubernetes/admin.conf" | |
與叢集通訊時要使用的 kubeconfig 檔案。如果未設定此旗標,則可以搜尋一組標準位置以尋找現有的 kubeconfig 檔案。 | |
| -o, --output string 預設值:"text" | |
輸出格式。選項包括:text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file。 | |
| --show-managed-fields | |
如果為 true,則在以 JSON 或 YAML 格式印出物件時,保留 managedFields。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
kubeadm certs generate-csr
此命令可用於為所有控制平面憑證和 kubeconfig 檔案產生金鑰和 CSR。然後,使用者可以使用他們選擇的 CA 簽署 CSR。若要閱讀有關如何使用此命令的更多資訊,請參閱 簽署由 kubeadm 產生的憑證簽署請求 (CSR)。
產生金鑰和憑證簽署請求
概要
為執行控制平面所需的所有憑證產生金鑰和憑證簽署請求 (CSR)。此命令還會產生部分 kubeconfig 檔案,其中私鑰資料位於 "users > user > client-key-data" 欄位中,並且為每個 kubeconfig 檔案建立一個伴隨的 ".csr" 檔案。
此命令旨在用於 Kubeadm 外部 CA 模式。它產生 CSR,然後您可以將其提交給您的外部憑證授權單位進行簽署。
PEM 編碼的已簽署憑證應與金鑰檔案一起儲存,使用 ".crt" 作為檔案副檔名,或者在 kubeconfig 檔案的情況下,PEM 編碼的已簽署憑證應進行 base64 編碼並新增至 kubeconfig 檔案的 "users > user > client-certificate-data" 欄位中。
kubeadm certs generate-csr [flags]
範例
# The following command will generate keys and CSRs for all control-plane certificates and kubeconfig files:
kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
選項
| --cert-dir string | |
儲存憑證的路徑 | |
| --config string | |
kubeadm 組態檔案的路徑。 | |
| -h, --help | |
generate-csr 的說明 | |
| --kubeconfig-dir string 預設值:"/etc/kubernetes" | |
儲存 kubeconfig 檔案的路徑。 | |
從父命令繼承的選項
| --rootfs string | |
「真實」主機根檔案系統的路徑。這會導致 kubeadm chroot 進入提供的路徑。 | |
下一步
- kubeadm init 以引導 Kubernetes 控制平面節點
- kubeadm join 以將節點連接到叢集
- kubeadm reset 以還原
kubeadm init或kubeadm join對此主機所做的任何變更