您正在查看 Kubernetes 版本的文档: v1.19
Kubernetes v1.19 版本的文档已不再维护。您现在看到的版本来自于一份静态的快照。如需查阅最新文档,请点击 最新版本。
kubeadm alpha
注意:
kubeadm alpha提供了一组可用于收集社区反馈的功能的预览。 请尝试一下这些功能并给我们反馈!
kubeadm alpha certs
Kubernetes 证书的操作集合。
与处理 kubernetes 证书相关的命令
选项
| -h, --help | |
| certs 命令的帮助 | |
继承于父命令的选项
| --rootfs string | |
| [实验] 到'真实'主机根文件系统的路径。 | |
kubeadm alpha certs renew
使用 all 子命令来更新所有 Kubernetes 证书或有选择性地更新它们。
有关证书到期和续订的更多详细信息,
请参见证书管理文档。
概要
此命令并非设计用来单独运行。请参阅可用子命令列表。
kubeadm alpha certs renew [flags]
选项
| -h, --help | |
| renew 操作的帮助命令 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订运行控制平面所需的所有已知证书。续订是无条件进行的,与到期日期无关。续订也可以单独运行以进行更多控制。
kubeadm alpha certs renew all [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 存储证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| 输出 CSR 和私钥的路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| all 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订 kubeconfig 文件中嵌入的证书,供管理员 和 kubeadm 自身使用。
无论证书的到期日期如何,续订都是无条件进行的;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试使用由 kubeadm 管理的本地 PKI 中的证书机构;作为替代方案, 也可以使用 K8s certificate API 进行证书续订,或者(作为最后一种选择)生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防证书文件在其他地方使用。
kubeadm alpha certs renew admin.conf [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 保存证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| CSR 和私钥的输出路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| admin.conf 操作的帮助命令 | |
| --kubeconfig string Default: "/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订 apiserver 用于访问 etcd 的证书。
无论证书的到期日期如何,续订都会无条件地进行;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订尝试在 kubeadm 管理的本地 PKI 中使用证书颁发机构;作为替代方案, 可以使用 K8s 证书 API 进行证书更新,或者作为最后一个选择来生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm alpha certs renew apiserver-etcd-client [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 存储证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| 输出 CSR 和私钥的路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| apiserver-etcd-client 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订 apiserver 用于连接 kubelet 的证书。
无论证书的到期日期如何,续订都会无条件地进行;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订尝试使用位于 kubeadm 所管理的本地 PKI 中的证书颁发机构;作为替代方案, 也可能调用 K8s 证书 API 进行证书更新;亦或者,作为最后一个选择,生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm alpha certs renew apiserver-kubelet-client [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 存储证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| 输出 CSR 和私钥的路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| apiserver-kubelet-client 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订用于提供 Kubernetes API 的证书。
无论证书的到期日期如何,续订都会无条件地进行;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订尝试在 kubeadm 管理的本地 PKI 中使用证书颁发机构;作为替代方案, 可以使用 K8s 证书 API 进行证书更新,或者作为最后一个选择来生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm alpha certs renew apiserver [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 保存证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| CSR 和私钥的输出路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| apiserver 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订 kubeconfig 文件中嵌入的证书,以供控制器管理器(controller manager)使用。
续订无条件地进行,与证书的到期日期无关;SAN 等额外属性将基于现有的文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试在 kubeadm 管理的本地 PKI 中使用证书颁发机构;作为替代方案, 可以使用 K8s 证书 API 进行证书续订;亦或者,作为最后一种选择,生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm alpha certs renew controller-manager.conf [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 保存证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| CSR 和私钥的输出路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| controller-manager.conf 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订 etcd 健康检查的活跃性探针的证书。
无论证书的到期日期如何,续订都是无条件进行的;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试使用由 kubeadm 管理的本地 PKI 中的证书机构;作为替代方案,也可以使用 K8s certificate API 进行证书续订,或者(作为最后一种选择)生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防证书文件在其他地方使用。
kubeadm alpha certs renew etcd-healthcheck-client [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 保存证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| CSR 和私钥的输出路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| etcd-healthcheck-client 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订 etcd 节点间用来相互通信的证书。
无论证书的到期日期如何,续订都是无条件进行的;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试使用由 kubeadm 管理的本地 PKI 中的证书机构;作为替代方案,也可以使用 K8s certificate API 进行证书续订,或者(作为最后一种选择)生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防证书文件在其他地方使用。
kubeadm alpha certs renew etcd-peer [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 保存证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| CSR 和私钥的输出路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| etcd-peer 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订用于提供 etcd 的证书。
续订无条件地进行,与证书的到期日期无关;SAN 等额外属性将基于现有的文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试在 kubeadm 管理的本地 PKI 中使用证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书续订,或者作为最后一种选择来生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm alpha certs renew etcd-server [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 保存证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| CSR 和私钥的输出路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| etcd-server 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
为前端代理客户端续订证书。
无论证书的到期日期如何,续订都会无条件地进行;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订尝试使用位于 kubeadm 所管理的本地 PKI 中的证书颁发机构;作为替代方案, 也可以使用 K8s 证书 API 进行证书续订;亦或者,作为最后一种方案,生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm alpha certs renew front-proxy-client [flags]
选项
| --cert-dir string Default: "/etc/kubernetes/pki" | |
| 存储证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| 输出 CSR 和私钥的路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| front-proxy-client 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
续订 kubeconfig 文件中嵌入的证书,以供调度管理器使用。
续订无条件地进行,与证书的到期日期无关;SAN 等额外属性将基于现有的文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试在 kubeadm 管理的本地 PKI 中使用证书颁发机构;作为替代方案,可以使用 K8s 证书 API 进行证书续订;亦或者,作为最后一种选择,生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm alpha certs renew scheduler.conf [flags]
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 保存证书的路径。 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| --csr-dir string | |
| CSR 和私钥的输出路径 | |
| --csr-only | |
| 创建 CSR 而不是生成证书 | |
| -h, --help | |
| scheduler.conf 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --use-api | |
| 使用 Kubernetes 证书 API 续订证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
kubeadm alpha certs certificate-key
该命令可用于生成新的控制平面证书密钥。
密钥可以作为 --certificate-key 参数传递给 kubeadm init 和 kubeadm join 操作,
以在加入其他控制平面节点时启用证书的自动复制。
概要
该命令将打印出可以与 "init" 命令一起使用的安全的随机生成的证书密钥。
您也可以使用 kubeadm init --upload-certs 而无需指定证书密钥,它将为您生成并打印一个证书密钥。
kubeadm alpha certs certificate-key [flags]
选项
| -h, --help | |
| certificate-key 操作的帮助命令 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
kubeadm alpha certs generate-csr
该命令可用于生成证书签名请求(CSR),CSR 可以将其提交给证书颁发机构(CA)进行签名。
为运行控制平面所需的所有证书生成密钥和证书签名请求(CSR)。该命令会生成部分 kubeconfig 文件, 其中 "users > user > client-key-data" 字段包含私钥数据,并为每个 kubeconfig 文件创建一个随附的".csr"文件。
该命令设计用于 Kubeadm 外部 CA 模式。 它生成 CSR,然后你可以将其提交给外部证书颁发机构进行签名。
然后,应使用 ".crt" 作为文件扩展名将 PEM 编码的签名证书与密钥文件一起保存,或者,对于 kubeconfig 文件, PEM 编码的签名证书应使用 base64 编码,并添加到 "users > user > client-certificate-data" 字段。
kubeadm alpha certs generate-csr [flags]
示例
# 以下命令将为所有控制平面证书和 kubeconfig 文件生成密钥和 CSR :
kubeadm alpha certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
选项
| --cert-dir string | |
| 保存证书的路径 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| -h, --help | |
| generate-csr 命令的帮助 | |
| --kubeconfig-dir string 默认值:"/etc/kubernetes" | |
| 保存 kubeconfig 文件的路径。 | |
继承于父命令的选项
| --rootfs string | |
| [实验] 到'真实'主机根文件系统的路径。 | |
kubeadm alpha certs check-expiration
此命令检查 kubeadm 管理的本地 PKI 中证书的到期时间。 有关证书到期和续订的更多详细信息,请参见 证书管理文档。
概要
检查 kubeadm 管理的本地 PKI 中证书的到期时间。
kubeadm alpha certs check-expiration [flags]
选项
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
| 保存证书的路径 | |
| --config string | |
| kubeadm 配置文件的路径 | |
| -h, --help | |
| check-expiration 的帮助命令 | |
继承于父命令的选项
| --rootfs string | |
| [实验] 到'真实'主机根文件系统的路径。 | |
kubeadm alpha kubeconfig user
使用子命令 user 为其他用户创建 kubeconfig 文件。
概要
kubeconfig 文件应用程序。
Alpha 免责声明:此命令当前为 alpha 功能。
选项
| -h, --help | |
| kubeconfig 操作的帮助命令 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
概要
为其他用户输出 kubeconfig 文件。
Alpha 免责声明:此命令当前为 Alpha 功能。
kubeadm alpha kubeconfig user [flags]
示例
# 为名为 foo 的其他用户输出 kubeconfig 文件
kubeadm alpha kubeconfig user --client-name=foo
选项
| --apiserver-advertise-address string | |
| 可通过以下网址访问 API 服务器的 IP 地址 | |
| --apiserver-bind-port int32 默认值: 6443 | |
| 可通过其访问 API 服务器的端口 | |
| --cert-dir string 默认值: "/etc/kubernetes/pki" | |
| 证书存储的路径 | |
| --client-name string | |
| 用户名。如果创建了客户端证书,它将用作 CN。 | |
| -h, --help | |
| user 操作的帮助命令 | |
| --org stringSlice | |
| 客户端证书的组织。如果创建了客户端证书,它将用作 O。 | |
| --token string | |
| 应该用此 kubeconfig 的身份验证机制的令牌,而不是客户端证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 指向 '真实' 宿主机的根目录。 | |
kubeadm alpha kubelet config
使用以下命令启用 DynamicKubeletConfiguration 功能。
概要
此命令并非设计用来单独运行。请参阅可用子命令列表。
选项
| -h, --help | |
| kubelet 操作的帮助命令 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 指向 '真实' 宿主机的根目录。 | |
概要
针对集群中的 kubelet-config-1.X ConfigMap 启用或更新节点的动态 kubelet 配置,其中 X 是所需 kubelet 版本的次要版本。
警告:此功能仍处于试验阶段,默认情况下处于禁用状态。仅当知道自己在做什么时才启用它,因为在此阶段它可能会产生令人惊讶的副作用。
Alpha 免责声明:此命令当前为 Alpha 功能。
kubeadm alpha kubelet config enable-dynamic [flags]
示例
# 为节点启用动态 kubelet 配置。
kubeadm alpha phase kubelet enable-dynamic-config --node-name node-1 --kubelet-version 1.16.0
WARNING: This feature is still experimental, and disabled by default. Enable only if you know what you are doing, as it
may have surprising side-effects at this stage.
选项
| -h, --help | |
| enable-dynamic 操作的帮助命令 | |
| --kubeconfig string 默认值: "/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| --kubelet-version string | |
| kubelet 所需版本 | |
| --node-name string | |
| 应该启用动态 kubelet 配置节点的名称 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 指向 '真实' 宿主机的根目录。 | |
kubeadm alpha selfhosting pivot
子命令 pivot 可用于将 Pod 托管的静态控制平面转换为自托管的控制平面。
有关 pivot 更多信息,请参见
文档。
概要
此命令并非设计用来单独运行。请参阅可用子命令列表。
选项
| -h, --help | |
| selfhosting 操作的帮助命令 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 指向 '真实' 宿主机的根目录。 | |
概要
将用于控制平面组件的静态 Pod 文件转换为通过 Kubernetes API 配置的自托管 DaemonSet。
有关自托管的限制,请参阅相关文档。
Alpha 免责声明:此命令当前为 alpha 功能。
kubeadm alpha selfhosting pivot [flags]
示例
# 将静态 Pod 托管的控制平面转换为自托管的控制平面。
kubeadm alpha phase self-hosting convert-from-staticpods
选项
| --cert-dir string 默认值:"/etc/kubernetes/pki" | |
| 证书存储的路径 | |
| --config string | |
| kubeadm 配置文件的路径。 | |
| -f, --force | |
| 在不提示确认的情况下转换集群 | |
| -h, --help | |
| pivot 操作的帮助命令 | |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" | |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 | |
| -s, --store-certs-in-secrets | |
| 启用 secret 存储证书 | |
从父命令继承的选项
| --rootfs string | |
| [实验] 到 '真实' 主机根文件系统的路径。 | |
接下来
- kubeadm init 引导 Kubernetes 控制平面节点
- kubeadm join 将节点连接到集群
- kubeadm reset 会还原
kubeadm init或kubeadm join操作对主机所做的任何更改。