kubeadm certs 是 Kubernetes 中用于管理集群证书的核心命令,证书是保障集群安全通信的基石。通过该命令可以查看证书状态、更新即将过期的证书以及生成新的证书,确保集群始终处于安全可靠的状态。接下来,让我们一起学习如何使用它吧!
1、使用场景
- 查看证书信息:检查集群中证书的有效期和详细信息
- 更新证书:在证书即将过期或已过期时手动更新
- 生成新证书:重新生成集群证书(如配置文件丢失或损坏时)
- 检查证书状态:验证证书的健康状态
2、示例
- 检查证书有效期
kubeadm certs check-expiration
- 更新所有证书
# 更新所有证书,包括 apiserver、apiserver-kubelet-client 等
kubeadm certs renew all
- 更新指定证书
# 仅更新 apiserver 证书
kubeadm certs renew apiserver
- 注意事项
- 证书有效期(K8s 证书默认有效期为 1 年,需定期检查并更新)
- 备份(更新或生成证书前,备份 /etc/kubernetes/pki 目录)
- 集群状态(更新证书后,可能需要重启相关组件,如 kube-apiserver)
- 外部管理证书(若证书由外部工具管理,如 cert-manager,避免使用 kubeadm certs renew)
3、常见参数
- --config:指定配置文件路径
- --cert-dir:指定证书存储目录(默认 /etc/kubernetes/pki)
- --csr-only:仅生成证书签名请求(CSR),而不实际生成证书
- --csr-dir:指定 CSR 文件的输出目录
