kubeadm certs
kubeadm certs
надає утиліти для керування сертифікатами. Для отримання детальної інформації про використання цих команд, дивіться Керування сертифікатами за допомогою kubeadm.
kubeadm certs
Збірка операцій для роботи з сертифікатами Kubernetes.
Команди, повʼязані з обробкою сертифікатів Kubernetes
Опис
Команди, повʼязані з обробкою сертифікатів Kubernetes
kubeadm certs [command]
Параметри
-h, --help | |
довідка certs |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
kubeadm certs renew
Ви можете поновити всі сертифікати Kubernetes, використовуючи підкоманду all
, або поновити їх вибірково. Для отримання детальної інформації дивіться Ручне поновлення сертифікатів.
Поновлення сертифікатів для кластера Kubernetes
Опис
Поновлення сертифікатів для кластера Kubernetes
kubeadm certs renew [flags]
Параметри
-h, --help | |
довідка renew |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлення всіх доступних сертифікатів
Опис
Поновлення усі відомих сертифікатів, необхідних для запуску панелі управління. Поновлення виконується безумовно, незалежно від дати закінчення терміну дії. Поновлення також можна виконувати окремо для більшого контролю.
kubeadm certs renew all [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка all | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат, вбудований у файл kubeconfig для використання адміністратором і для самого kubeadm
Опис
Поновлює сертифікат, вбудований у файл kubeconfig для використання адміністратором і для самого kubeadm.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на поточних файлах/сертифікатах, нема потреби їх поновлювати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew admin.conf [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка admin.conf | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат, який apiserver використовує для доступу до etcd
Опис
Поновлює сертифікат, який apiserver використовує для доступу до etcd.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх поновлювати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew apiserver-etcd-client [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка apiserver-etcd-client | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат для сервера API для підключення до kubelet
Опис
Поновлює сертифікат для сервера API для підключення до kubelet.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew apiserver-kubelet-client [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка apiserver-kubelet-client | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат для обслуговування API Kubernetes
Синопсис
Поновлює сертифікат для обслуговування API Kubernetes.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew apiserver [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка apiserver | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат, вбудований у файл kubeconfig для використання менеджером контролера
Опис
Поновлює сертифікат, вбудований у файл kubeconfig для використання менеджером контролера.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew controller-manager.conf [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка controller-manager.conf | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат для проб життєздатності для перевірки стану справності etcd
Опис
Поновлює сертифікат для проб життєздатності для перевірки стану справності etcd.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew etcd-healthcheck-client [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка etcd-healthcheck-client | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат для вузлів etcd, щоб вони могли взаємодіяти один з одним
Опис
Поновлює сертифікат для вузлів etcd, щоб вони могли взаємодіяти один з одним.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew etcd-peer [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка etcd-peer | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат для обслуговування etcd
Опис
Поновлює сертифікат для обслуговування etcd.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew etcd-server [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка etcd-server | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлення сертифіката клієнта front proxy
Опис
Поновлення сертифіката клієнта front proxy.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew front-proxy-client [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка front-proxy-client | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат, вбудований у файл kubeconfig для використання менеджером планувальника
Опис
Поновлює сертифікат, вбудований у файл kubeconfig для використання менеджером планувальника.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew scheduler.conf [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка scheduler.conf | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Поновлює сертифікат, вбудований у файл kubeconfig для суперкористувача
Опис
Поновлює сертифікат, вбудований у файл kubeconfig для суперкористувача.
Поновлення виконується безумовно, незалежно від дати закінчення терміну дії сертифіката; додаткові атрибути, такі як SAN, будуть базуватися на наявних файлах/сертифікатах, нема потреби їх перезавантажувати.
Типово поновлення намагається використовувати центр сертифікації в локальному PKI, керованому kubeadm; як альтернативу можна використовувати API сертифікатів K8s для поновлення сертифікатів, або, як останній варіант, згенерувати CSR-запит.
Після оновлення, щоб зміни набули чинності, необхідно перезапустити компоненти панелі управління та, зрештою, повторно розповсюдити оновлений сертифікат у випадку, якщо файл використовується деінде.
kubeadm certs renew super-admin.conf [flags]
Параметри
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка super-admin.conf | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
kubeadm certs certificate-key
Ця команда може бути використана для створення нового ключа сертифіката для панелі управління. Ключ може бути переданий як --certificate-key
до kubeadm init
та kubeadm join
для забезпечення автоматичного копіювання сертифікатів при підключенні додаткових вузлів панелі управління.
Генерує ключів сертифікатів
Опис
Ця команда виведе захищений випадково згенерований ключ сертифіката, який можна використовувати з командою "init".
Ви також можете скористатися командою "kubeadm init --upload-certs" без зазначення ключа сертифіката, і вона згенерує і виведе його для вас.
kubeadm certs certificate-key [flags]
Параметри
-h, --help | |
Довідка certificate-key |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
kubeadm certs check-expiration
Ця команда перевіряє термін дії сертифікатів у локальному PKI, керованому kubeadm. Для отримання детальної інформації дивіться Перевірка терміну дії сертифікатів.
Перевіряє термін дії сертифікатів для кластера Kubernetes
Опис
Перевіряє термін дії сертифікатів у локальному PKI, яким керує kubeadm.
kubeadm certs check-expiration [flags]
Параметри
--allow-missing-template-keys Типово: true | |
Якщо true, ігнорувати будь-які помилки в шаблонах, коли поле або ключ map відсутні в шаблоні. Застосовується тільки до форматів виведення golang і jsonpath. | |
--cert-dir string Типово: "/etc/kubernetes/pki" | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка check-expiration | |
--kubeconfig string Типово: "/etc/kubernetes/admin.conf" | |
Файл kubeconfig, який використовується для спілкування з кластером. Якщо прапорець не встановлено, може буити переглянутий набір стандартних місць для пошуку наявного файлу kubeconfig. | |
-o, --output string Типово: "text" | |
Формат виводу. Один з: text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file. | |
--show-managed-fields | |
Якщо true, залишати managedFields при виведенні обʼєктів у форматі JSON або YAML. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
kubeadm certs generate-csr
Ця команда може бути використана для створення ключів і CSRs для всіх сертифікатів панелі управління та файлів kubeconfig. Користувач може потім підписати CSRs з CA на свій вибір. Для отримання додаткової інформації про використання команди дивіться Підписання запитів на підписання сертифікатів (CSR), створених за допомогою kubeadm.
Генерує ключі та запити на підписання сертифікатів
Опис
Генерує ключі та запити на підписування сертифікатів (CSRs) для всіх сертифікатів, необхідних для роботи панелі управління. Ця команда також генерує часткові файли kubeconfig з даними приватного ключа в полі "users > user > client-key-data", і для кожного файлу kubeconfig створюється супутній файл ".csr".
Ця команда призначена для використання в Режимі Kubeadm з зовнішнім CA Kubeadm. Вона генерує CSRs, які ви можете подати на підписання до вашого зовнішнього центру сертифікації.
Закодовані в PEM підписані сертифікати повинні бути збережені поруч з файлами ключів, використовуючи ".crt" як розширення файлу, або, у випадку з файлами kubeconfig, закодований в PEM підписаний сертифікат повинен бути закодований у base64 і доданий до файлу kubeconfig в полі "users > user > client-certificate-data".
kubeadm certs generate-csr [flags]
Приклади
# Наступна команда згенерує ключі та CSRs для всіх сертифікатів панелі управління та файлів kubeconfig:
kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
Параметри
--cert-dir string | |
Шлях, де будуть збережені сертифікати | |
--config string | |
Шлях до конфігураційного файлу kubeadm. | |
-h, --help | |
Довідка generate-csr | |
--kubeconfig-dir string Типово: "/etc/kubernetes" | |
Шлях, де буде збережено файл kubeconfig. |
Параметри успадковані від батьківських команд
--rootfs string | |
Шлях до реальної кореневої файлової системи хоста. Це призведе до зміни корення (chroot) kubeadm на вказаних шлях |
Що далі
- kubeadm init для запуску вузла панелі управління Kubernetes
- kubeadm join для підключення вузла до кластера
- kubeadm reset для скасування будь-яких змін, внесених за допомогою
kubeadm init
абоkubeadm join