kubeadm certs
O kubeadm certs
fornece os utilitários para gerenciar os certificados. Para obter mais detalhes sobre como esses comandos podem ser usados, consulte Gerenciamento de Certificados com o kubeadm.
kubeadm certs
Um conjunto de utilitários para usar os certificados Kubernetes
Comandos relacionados ao manuseio de certificados kubernetes
Sinopse
Comandos relacionados ao manuseio de certificados kubernetes
Opções
-h, --help | |
ajuda para certs |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
kubeadm certs renew
Você pode renovar todos os certificados Kubernetes usando o subcomando all
ou renová-los seletivamente. Para mais detalhes, consulte Manual de renovação do certificado.
Renove certificados para um cluster Kubernetes
Sinopse
Este comando não deve ser executado sozinho. Veja a lista de subcomandos disponíveis.
kubeadm certs renew [flags]
Opções
-h, --help | |
ajuda para renew |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renovar todos os certificados disponíveis
Sinopse
Renove todos os certificados conhecidos e necessários para executar a camada de gerenciamento. As renovações são executadas incondicionalmente, independentemente da data de expiração. As renovações também podem ser executadas individualmente para obter mais controle.
kubeadm certs renew all [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para all | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado incorporado no arquivo kubeconfig para o administrador e o kubeadm usarem
Sinopse
Renove o certificado incorporado no arquivo kubeconfig para o administrador e o kubeadm usarem.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar a API de certificados do K8s para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew admin.conf [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados. | |
--config string | |
O caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para o admin.conf | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas dos comandos superiores
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado que o apiserver usa para acessar o etcd.
Sinopse
Renove o certificado que o apiserver usa para acessar o etcd.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar a API de certificado K8s para renovação do certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew apiserver-etcd-client [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para apiserver-etcd-client | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado para o servidor API se conectar ao kubelet
Sinopse
Renove o certificado para o servidor da API se conectar ao kubelet.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar a API de certificado do K8s para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew apiserver-kubelet-client [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para apiserver-kubelet-client | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado para servir a API do Kubernetes
Sinopse
Renove o certificado para servir a API do Kubernetes.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew apiserver [flags]
Opções
--cert-dir string Default: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para apiserver | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado incorporado no arquivo kubeconfig para o uso do gerenciador de controladores.
Sinopse
Renove o certificado incorporado no arquivo kubeconfig para o uso do gerenciador de controladores.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew controller-manager.conf [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para controller-manager.conf | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado para liveness probes
para verificar a integridade do etcd
Sinopse
Renove o certificado para liveness probes
para verificar a integridade do etcd.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew etcd-healthcheck-client [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para etcd-healthcheck-client | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado para nós etcd se comunicarem uns com os outros
Sinopse
Renove o certificado para nós etcd se comunicarem uns com os outros.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew etcd-peer [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para etcd-peer | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado para servir o etcd
Sinopse
Renove o certificado para servir o etcd.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew etcd-server [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para etcd-server | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado para o cliente front proxy
Sinopse
Renove o certificado para o cliente front proxy.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew front-proxy-client [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para front-proxy-client | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Renove o certificado incorporado no arquivo kubeconfig para o gerenciador de agendamento usar
Sinopse
Renove o certificado incorporado no arquivo kubeconfig para o gerenciador de agendamento usar.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew scheduler.conf [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para scheduler.conf | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
kubeadm certs certificate-key
Este comando pode ser usado para gerar uma nova chave do certificado da camada de gerenciamento. A chave pode ser passada como --certificate-key
to kubeadm init
e kubeadm join
para permitir uma cópia automática dos certificados ao unir nós adicionais a camada de gerenciamento.
Gerar as chaves de certificado
Sinopse
Este comando exibirá uma chave de certificado segura gerada aleatoriamente que pode ser usada com o comando "init".
Você também pode usar "kubeadm init --upload-certs" sem especificar uma chave de certificado e ela irá gerar e exibir uma para você.
kubeadm certs certificate-key [flags]
Opções
-h, --help | |
ajuda para certificate-key |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
kubeadm certs check-expiration
Este comando verifica a expiração dos certificados na PKI local gerenciada pelo kubeadm. Para mais detalhes, consulte Verificar a expiração do certificado.
Verifique a expiração dos certificados para um cluster Kubernetes
Sinopse
Verifica a expiração dos certificados PKI local gerenciados pelo kubeadm.
kubeadm certs check-expiration [flags]
Opções
--cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para check-expiration | |
--kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig usado na comunicação com o cluster. Se a flag não estiver definida, um conjunto de locais padrão pode ser pesquisado em busca de um arquivo kubeconfig existente. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
kubeadm certs generate-csr
Este comando pode ser usado para gerar chaves e CSRs para todos os certificados da camada de gerenciamento e arquivos kubeconfig. O usuário pode então assinar os CSRs com uma autoridade de certificação de sua escolha.
Gerar chaves e solicitações de assinatura de certificados
Sinopse
Gera as chaves e as solicitações de assinatura de certificados (CSRs) para todos os certificados necessários para executar a camada de gerenciamento. Este comando também gera os arquivos kubeconfig parciais com dados de chave privada no campo "users > user > client-key-data" e, para cada arquivo kubeconfig, um arquivo ".csr" correspondente é criado.
Esse comando foi projetado para uso no modo de CA externo do Kubeadm. Ele gera CSRs que você pode enviar à sua autoridade de certificação externa para assinatura.
Os certificados PEM assinados e codificados devem ser salvos juntamente com os arquivos da chave, usando ".crt" como extensão de arquivo ou, no caso de arquivos kubeconfig, o certificado assinado codificado no formato PEM deve ser codificado em base64 e adicionado ao arquivo kubeconfig no campo "users > user > client-certificate-data".
kubeadm certs generate-csr [flags]
Exemplos
# O comando a seguir gera as chaves e CSRs para todos os certificados do plano de controle e arquivos kubeconfig:
kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
Opções
--cert-dir string | |
O caminho para salvar os certificados | |
--config string | |
Caminho para um arquivo de configuração kubeadm. | |
-h, --help | |
ajuda para generate-csr | |
--kubeconfig-dir string Padrão: "/etc/kubernetes" | |
O caminho para salvar o arquivo kubeconfig. |
Opções herdadas do comando superior
--rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
Próximos passos
- kubeadm init para inicializar um nó da camada de gerenciamento do Kubernetes
- kubeadm join para inicializar um nó de carga de trabalho do Kubernetes e associá-lo ao cluster
- kubeadm reset para reverter quaisquer alterações feitas, neste host, pelo
kubeadm init
oukubeadm join