kubeadm certs надає утиліти для керування сертифікатами. Для отримання детальної інформації про використання цих команд, дивіться Керування сертифікатами за допомогою kubeadm.
Збірка операцій для роботи з сертифікатами Kubernetes.
Команди, повʼязані з обробкою сертифікатів Kubernetes
kubeadm certs [command]
| -h, --help | |
довідка certs |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Ви можете поновити всі сертифікати Kubernetes, використовуючи підкоманду all, або поновити їх вибірково. Для отримання детальної інформації дивіться Ручне поновлення сертифікатів.
Поновлення сертифікатів для кластера Kubernetes
kubeadm certs renew [flags]
| -h, --help | |
довідка renew |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлення всіх доступних сертифікатів
Поновлення усі відомих сертифікатів, необхідних для запуску панелі управління. Поновлення виконується безумовно, незалежно від дати закінчення терміну дії. Поновлення також можна виконувати окремо для більшого контролю.
kubeadm certs renew all [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка all |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат, вбудований у файл kubeconfig для використання адміністратором і для самого kubeadm.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на поточних файлах/сертифікатах, нема потреби їх поновлювати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew admin.conf [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка admin.conf |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат, який apiserver використовує для доступу до etcd.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх поновлювати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew apiserver-etcd-client [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка apiserver-etcd-client |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат для сервера API для підключення до kubelet.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew apiserver-kubelet-client [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка apiserver-kubelet-client |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат для обслуговування API Kubernetes.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew apiserver [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка apiserver |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат, вбудований у файл kubeconfig для використання менеджером контролера.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew controller-manager.conf [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка controller-manager.conf |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат для проб життєздатності для перевірки стану справності etcd.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew etcd-healthcheck-client [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка etcd-healthcheck-client |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат для вузлів etcd, щоб вони могли взаємодіяти один з одним.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew etcd-peer [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка etcd-peer |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат для обслуговування etcd.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew etcd-server [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка etcd-server |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлення сертифіката клієнта front proxy.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew front-proxy-client [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка front-proxy-client |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат, вбудований у файл kubeconfig для використання менеджером планувальника.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew scheduler.conf [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка scheduler.conf |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Поновлює сертифікат, вбудований у файл kubeconfig для суперкористувача.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew super-admin.conf [flags]
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка super-admin.conf |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Ця команда може бути використана для створення нового ключа сертифіката для панелі управління. Ключ може бути переданий як --certificate-key до kubeadm init та kubeadm join для забезпечення автоматичного копіювання сертифікатів при підключенні додаткових вузлів панелі управління.
Генерує ключів сертифікатів
Ця команда виведе захищений випадково згенерований ключ сертифіката, який можна використовувати з командою "init".
Ви також можете скористатися командою "kubeadm init --upload-certs" без зазначення ключа сертифіката, і вона згенерує і виведе його для вас.
kubeadm certs certificate-key [flags]
| -h, --help | |
Довідка certificate-key |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Ця команда перевіряє термін дії сертифікатів у локальному PKI, керованому kubeadm. Для отримання детальної інформації дивіться Перевірка терміну дії сертифікатів.
Перевіряє термін дії сертифікатів для кластера Kubernetes
Перевіряє термін дії сертифікатів у локальному PKI, яким керує kubeadm.
kubeadm certs check-expiration [flags]
| --allow-missing-template-keys Типово: true | |
Якщо true, ігнорувати будь-які помилки в шаблонах, коли поле або ключ map відсутні в шаблоні. Застосовується тільки до форматів виведення golang і jsonpath. |
|
| --cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка check-expiration |
|
| --kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
|
| -o, --output string Типово: "text" | |
Формат виводу. Один з: text|json|yaml|kyaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file. |
|
| --show-managed-fields | |
Якщо true, залишати managedFields при виведенні обʼєктів у форматі JSON або YAML. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
Ця команда може бути використана для створення ключів і CSRs для всіх сертифікатів панелі управління та файлів kubeconfig. Користувач може потім підписати CSRs з CA на свій вибір. Для отримання додаткової інформації про використання команди дивіться Підписання запитів на підписання сертифікатів (CSR), створених за допомогою kubeadm.
Генерує ключі та запити на підписання сертифікатів
Генерує ключі та запити на підписування сертифікатів (CSRs) для всіх сертифікатів, необхідних для роботи панелі управління. Ця команда також генерує часткові файли kubeconfig з даними приватного ключа в полі "users > user > client-key-data", і для кожного файлу kubeconfig створюється супутній файл ".csr".
Ця команда призначена для використання в Режимі Kubeadm з зовнішнім CA Kubeadm. Вона генерує CSRs, які ви можете подати на підписання до вашого зовнішнього центру сертифікації.
Закодовані в PEM підписані сертифікати повинні бути збережені поруч з файлами ключів, використовуючи ".crt" як розширення файлу, або, у випадку з файлами kubeconfig, закодований в PEM підписаний сертифікат повинен бути закодований у base64 і доданий до файлу kubeconfig в полі "users > user > client-certificate-data".
kubeadm certs generate-csr [flags]
# Наступна команда згенерує ключі та CSRs для всіх сертифікатів панелі управління та файлів kubeconfig:
kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
| --cert-dir string | |
Шлях, де будуть збережені сертифікати |
|
| --config string | |
Шлях до конфігураційного файлу kubeadm. |
|
| -h, --help | |
Довідка generate-csr |
|
| --kubeconfig-dir string Типово: "/etc/kubernetes" | |
Шлях, де буде збережено файл kubeconfig. |
|
| --rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
|
kubeadm init або kubeadm join