Information in this document may be out of date
This document has an older update date than the original, so the information it contains may be out of date. If you're able to read English, see the English version for the most up-to-date information: kubeadm certs
kubeadm certs
O kubeadm certs fornece os utilitários para gerenciar os certificados. Para obter mais detalhes sobre como esses comandos podem ser usados, consulte Gerenciamento de Certificados com o kubeadm.
kubeadm certs
Um conjunto de utilitários para usar os certificados Kubernetes
Comandos relacionados ao manuseio de certificados kubernetes
Sinopse
Comandos relacionados ao manuseio de certificados kubernetes
Opções
| -h, --help | |
ajuda para certs |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
kubeadm certs renew
Você pode renovar todos os certificados Kubernetes usando o subcomando all ou renová-los seletivamente. Para mais detalhes, consulte Manual de renovação do certificado.
Renove certificados para um cluster Kubernetes
Sinopse
Este comando não deve ser executado sozinho. Veja a lista de subcomandos disponíveis.
kubeadm certs renew [flags]
Opções
| -h, --help | |
ajuda para renew |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renovar todos os certificados disponíveis
Sinopse
Renove todos os certificados conhecidos e necessários para executar a camada de gerenciamento. As renovações são executadas incondicionalmente, independentemente da data de expiração. As renovações também podem ser executadas individualmente para obter mais controle.
kubeadm certs renew all [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para all |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado incorporado no arquivo kubeconfig para o administrador e o kubeadm usarem
Sinopse
Renove o certificado incorporado no arquivo kubeconfig para o administrador e o kubeadm usarem.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar a API de certificados do K8s para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew admin.conf [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados. |
|
| --config string | |
O caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para o admin.conf |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas dos comandos superiores
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado que o apiserver usa para acessar o etcd.
Sinopse
Renove o certificado que o apiserver usa para acessar o etcd.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar a API de certificado K8s para renovação do certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew apiserver-etcd-client [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para apiserver-etcd-client |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado para o servidor API se conectar ao kubelet
Sinopse
Renove o certificado para o servidor da API se conectar ao kubelet.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar a API de certificado do K8s para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew apiserver-kubelet-client [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para apiserver-kubelet-client |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado para servir a API do Kubernetes
Sinopse
Renove o certificado para servir a API do Kubernetes.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew apiserver [flags]
Opções
| --cert-dir string Default: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para apiserver |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado incorporado no arquivo kubeconfig para o uso do gerenciador de controladores.
Sinopse
Renove o certificado incorporado no arquivo kubeconfig para o uso do gerenciador de controladores.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew controller-manager.conf [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para controller-manager.conf |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado para liveness probes para verificar a integridade do etcd
Sinopse
Renove o certificado para liveness probes para verificar a integridade do etcd.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew etcd-healthcheck-client [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para etcd-healthcheck-client |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado para nós etcd se comunicarem uns com os outros
Sinopse
Renove o certificado para nós etcd se comunicarem uns com os outros.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew etcd-peer [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para etcd-peer |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado para servir o etcd
Sinopse
Renove o certificado para servir o etcd.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew etcd-server [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para etcd-server |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado para o cliente front proxy
Sinopse
Renove o certificado para o cliente front proxy.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew front-proxy-client [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para front-proxy-client |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Renove o certificado incorporado no arquivo kubeconfig para o gerenciador de agendamento usar
Sinopse
Renove o certificado incorporado no arquivo kubeconfig para o gerenciador de agendamento usar.
As renovações são executadas incondicionalmente, independentemente da data de expiração do certificado; atributos extras, como SANs, serão baseados no arquivo/certificados existentes, não há necessidade de informá-los novamente.
A renovação, por padrão, tenta usar a autoridade de certificação na PKI local gerenciada pelo kubeadm; como alternativa, é possível usar o certificado K8s da API para renovação de certificado, ou como última opção, para gerar uma solicitação CSR.
Após a renovação, para tornar as alterações efetivas, é necessário reiniciar os componentes da camada de gerenciamento e, eventualmente, redistribuir o certificado renovado, caso o arquivo seja usado em outro lugar.
kubeadm certs renew scheduler.conf [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para scheduler.conf |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig a ser usado para se comunicar com o cluster. Se a flag não estiver definida, um conjunto de locais predefinidos pode ser pesquisado por um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
kubeadm certs certificate-key
Este comando pode ser usado para gerar uma nova chave do certificado da camada de gerenciamento. A chave pode ser passada como --certificate-key to kubeadm init e kubeadm join para permitir uma cópia automática dos certificados ao unir nós adicionais a camada de gerenciamento.
Gerar as chaves de certificado
Sinopse
Este comando exibirá uma chave de certificado segura gerada aleatoriamente que pode ser usada com o comando "init".
Você também pode usar "kubeadm init --upload-certs" sem especificar uma chave de certificado e ela irá gerar e exibir uma para você.
kubeadm certs certificate-key [flags]
Opções
| -h, --help | |
ajuda para certificate-key |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
kubeadm certs check-expiration
Este comando verifica a expiração dos certificados na PKI local gerenciada pelo kubeadm. Para mais detalhes, consulte Verificar a expiração do certificado.
Verifique a expiração dos certificados para um cluster Kubernetes
Sinopse
Verifica a expiração dos certificados PKI local gerenciados pelo kubeadm.
kubeadm certs check-expiration [flags]
Opções
| --cert-dir string Padrão: "/etc/kubernetes/pki" | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para check-expiration |
|
| --kubeconfig string Padrão: "/etc/kubernetes/admin.conf" | |
O arquivo kubeconfig usado na comunicação com o cluster. Se a flag não estiver definida, um conjunto de locais padrão pode ser pesquisado em busca de um arquivo kubeconfig existente. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
kubeadm certs generate-csr
Este comando pode ser usado para gerar chaves e CSRs para todos os certificados da camada de gerenciamento e arquivos kubeconfig. O usuário pode então assinar os CSRs com uma autoridade de certificação de sua escolha.
Gerar chaves e solicitações de assinatura de certificados
Sinopse
Gera as chaves e as solicitações de assinatura de certificados (CSRs) para todos os certificados necessários para executar a camada de gerenciamento. Este comando também gera os arquivos kubeconfig parciais com dados de chave privada no campo "users > user > client-key-data" e, para cada arquivo kubeconfig, um arquivo ".csr" correspondente é criado.
Esse comando foi projetado para uso no modo de CA externo do Kubeadm. Ele gera CSRs que você pode enviar à sua autoridade de certificação externa para assinatura.
Os certificados PEM assinados e codificados devem ser salvos juntamente com os arquivos da chave, usando ".crt" como extensão de arquivo ou, no caso de arquivos kubeconfig, o certificado assinado codificado no formato PEM deve ser codificado em base64 e adicionado ao arquivo kubeconfig no campo "users > user > client-certificate-data".
kubeadm certs generate-csr [flags]
Exemplos
# O comando a seguir gera as chaves e CSRs para todos os certificados do plano de controle e arquivos kubeconfig:
kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
Opções
| --cert-dir string | |
O caminho para salvar os certificados |
|
| --config string | |
Caminho para um arquivo de configuração kubeadm. |
|
| -h, --help | |
ajuda para generate-csr |
|
| --kubeconfig-dir string Padrão: "/etc/kubernetes" | |
O caminho para salvar o arquivo kubeconfig. |
|
Opções herdadas do comando superior
| --rootfs string | |
[EXPERIMENTAL] O caminho para o 'real' sistema de arquivos raiz do host. |
|
Próximos passos
- kubeadm init para inicializar um nó da camada de gerenciamento do Kubernetes
- kubeadm join para inicializar um nó de carga de trabalho do Kubernetes e associá-lo ao cluster
- kubeadm reset para reverter quaisquer alterações feitas, neste host, pelo
kubeadm initoukubeadm join