1 -
摘要
┌──────────────────────────────────────────────────────────┐
│ KUBEADM │
│ 轻松创建一个安全的 Kubernetes 集群 │
│ │
│ 给我们反馈意见的地址: │
│ https://github.com/kubernetes/kubeadm/issues │
└──────────────────────────────────────────────────────────┘
用途示例:
创建一个有两台机器的集群,包含一个主节点(用来控制集群),和一个工作节点(运行您的工作负载,像 Pod 和 Deployment)。
┌──────────────────────────────────────────────────────────┐
│ 在第一台机器上: │
├──────────────────────────────────────────────────────────┤
│ control-plane# kubeadm init │
└──────────────────────────────────────────────────────────┘
┌──────────────────────────────────────────────────────────┐
│ 在第二台机器上: │
├──────────────────────────────────────────────────────────┤
│ worker# kubeadm join <arguments-returned-from-init>│
└──────────────────────────────────────────────────────────┘
您可以重复第二步,向集群添加更多机器。
选项
-h, --help |
| kubeadm 操作的帮助信息 |
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
2 -
概要
kubeadm 实验子命令
选项
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机的根文件系统的路径。 |
3 -
概要
kubeconfig 文件应用程序。
Alpha 免责声明:此命令当前为 alpha 功能。
选项
-h, --help |
| kubeconfig 操作的帮助命令 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
4 -
概要
为其他用户输出 kubeconfig 文件。
Alpha 免责声明:此命令当前为 Alpha 功能。
kubeadm alpha kubeconfig user [flags]
示例
# 使用名为 bar 的 kubeadm 配置文件为名为 foo 的另一用户输出 kubeconfig 文件
kubeadm alpha kubeconfig user --client-name=foo --config=bar
选项
--client-name string |
| 用户名。如果生成客户端证书,则用作其 CN。 |
--config string |
| 指向 kubeadm 配置文件的路径 |
-h, --help |
| user 操作的帮助命令 |
--org stringSlice |
| 客户端证书的组织。如果创建客户端证书,此值将用作其 O 字段值。 |
--token string |
| 应该用此 kubeconfig 的身份验证机制的令牌,而不是客户端证书 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机的根目录。 |
5 -
概要
与处理 kubernetes 证书相关的命令
选项
继承于父命令的选项
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
6 -
概要
该命令将打印出可以与 "init" 命令一起使用的安全的随机生成的证书密钥。
你也可以使用 kubeadm init --upload-certs
而无需指定证书密钥;
命令将为你生成并打印一个证书密钥。
kubeadm certs certificate-key [flags]
选项
-h, --help |
| certificate-key 操作的帮助命令 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
7 -
概要
检查 kubeadm 管理的本地 PKI 中证书的到期时间。
kubeadm certs check-expiration [flags]
选项
--cert-dir string 默认值: "/etc/kubernetes/pki" |
| 保存证书的路径 |
--config string |
| kubeadm 配置文件的路径 |
-h, --help |
| check-expiration 的帮助命令 |
继承于父命令的选项
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
8 -
为运行控制平面所需的所有证书生成密钥和证书签名请求(CSR)。该命令会生成部分 kubeconfig 文件,
其中 "users > user > client-key-data" 字段包含私钥数据,并为每个 kubeconfig
文件创建一个随附的 ".csr" 文件。
此命令设计用于
Kubeadm 外部 CA 模式。
它生成你可以提交给外部证书颁发机构进行签名的 CSR。
应使用 ".crt" 作为文件扩展名将 PEM 编码的签名证书与密钥文件一起保存。
或者,对于 kubeconfig 文件,PEM 编码的签名证书应使用 base64 编码,
并添加到 "users > user > client-certificate-data" 字段。
kubeadm certs generate-csr [flags]
示例
# 以下命令将为所有控制平面证书和 kubeconfig 文件生成密钥和 CSR :
kubeadm certs generate-csr --kubeconfig-dir /tmp/etc-k8s --cert-dir /tmp/etc-k8s/pki
选项
--cert-dir string |
| 保存证书的路径 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| generate-csr 命令的帮助 |
--kubeconfig-dir string 默认值:"/etc/kubernetes" |
| 保存 kubeconfig 文件的路径。 |
继承于父命令的选项
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
9 -
概要
此命令并非设计用来单独运行。请参阅可用子命令列表。
kubeadm certs renew [flags]
选项
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
10 -
概要
续订 kubeconfig 文件中嵌入的证书,供管理员 和 kubeadm 自身使用。
无论证书的到期日期如何,续订都是无条件进行的;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试使用由 kubeadm 管理的本地 PKI 中的证书机构;作为替代方案,
也可以使用 K8s 证书 API 进行证书续订,或者(作为最后一种选择)生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防证书文件在其他地方使用。
kubeadm certs renew admin.conf [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| CSR 和私钥的输出路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| admin.conf 子操作的帮助命令 |
--kubeconfig string Default: "/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
11 -
概要
续订运行控制平面所需的所有已知证书。续订是无条件进行的,与到期日期无关。续订也可以单独运行以进行更多控制。
kubeadm certs renew all [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| 输出 CSR 和私钥的路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| all 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
12 -
概要
续订 apiserver 用于访问 etcd 的证书。
无论证书的到期日期如何,续订都会无条件地进行;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订尝试使用在 kubeadm 所管理的本地 PKI 中的证书颁发机构;作为替代方案,
可以使用 K8s 证书 API 进行证书更新,或者作为最后一个选择来生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm certs renew apiserver-etcd-client [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| 输出 CSR 和私钥的路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| apiserver-etcd-client 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
13 -
概要
续订 apiserver 用于连接 kubelet 的证书。
无论证书的到期日期如何,续订都会无条件地进行;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订尝试使用位于 kubeadm 所管理的本地 PKI 中的证书颁发机构;作为替代方案,
也可能调用 K8s 证书 API 进行证书更新;亦或者,作为最后一个选择,生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm certs renew apiserver-kubelet-client [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| 输出 CSR 和私钥的路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| apiserver-kubelet-client 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
14 -
概要
续订用于提供 Kubernetes API 的证书。
无论证书的到期日期如何,续订都会无条件地进行;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订尝试在 kubeadm 管理的本地 PKI 中使用证书颁发机构;作为替代方案,
可以使用 K8s 证书 API 进行证书更新,或者作为最后一个选择来生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm certs renew apiserver [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| CSR 和私钥的输出路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| apiserver 子操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
15 -
概要
续订 kubeconfig 文件中嵌入的证书,以供控制器管理器(Controller Manager)使用。
续订无条件地进行,与证书的到期日期无关;SAN 等额外属性将基于现有的文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试使用 kubeadm 管理的本地 PKI 中的证书颁发机构;作为替代方案,
可以使用 K8s 证书 API 进行证书续订;亦或者,作为最后一种选择,生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm alpha renew controller-manager.conf [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| CSR 和私钥的输出路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| controller-manager.conf 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
16 -
概要
续订存活态探针的证书,用于对 etcd 执行健康检查。
无论证书的到期日期如何,续订都是无条件进行的;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试使用由 kubeadm 管理的本地 PKI 中的证书机构;作为替代方案,
也可以使用 K8s certificate API 进行证书续订,或者(作为最后一种选择)生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防证书文件在其他地方使用。
kubeadm certs renew etcd-healthcheck-client [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| CSR 和私钥的输出路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| etcd-healthcheck-client 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
17 -
概要
续订 etcd 节点间用来相互通信的证书。
无论证书的到期日期如何,续订都是无条件进行的;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试使用由 kubeadm 管理的本地 PKI 中的证书机构;
作为替代方案,也可以使用 K8s certificate API 进行证书续订,或者(作为最后一种选择)生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防证书文件在其他地方使用。
kubeadm certs renew etcd-peer [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| CSR 和私钥的输出路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| etcd-peer 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
18 -
概要
续订用于提供 etcd 服务的证书。
续订无条件地进行,与证书的到期日期无关;SAN 等额外属性将基于现有的文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试在 kubeadm 管理的本地 PKI 中使用证书颁发机构;作为替代方案,
可以使用 K8s 证书 API 进行证书续订,或者作为最后一种选择来生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm certs renew etcd-server [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| CSR 和私钥的输出路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| etcd-server 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
19 -
概要
为前端代理客户端续订证书。
无论证书的到期日期如何,续订都会无条件地进行;SAN 等额外属性将基于现有文件/证书,因此无需重新提供它们。
默认情况下,续订尝试使用位于 kubeadm 所管理的本地 PKI 中的证书颁发机构;作为替代方案,
也可以使用 K8s 证书 API 进行证书续订;亦或者,作为最后一种方案,生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm certs renew front-proxy-client [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| 输出 CSR 和私钥的路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| front-proxy-client 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
20 -
概要
续订 kubeconfig 文件中嵌入的证书,以供调度管理器使用。
续订无条件地进行,与证书的到期日期无关;SAN 等额外属性将基于现有的文件/证书,因此无需重新提供它们。
默认情况下,续订会尝试使用在 kubeadm 所管理的本地 PKI 中的证书颁发机构;作为替代方案,
也可以使用 K8s 证书 API 进行证书续订;亦或者,作为最后一种选择,生成 CSR 请求。
续订后,为了使更改生效,需要重新启动控制平面组件,并最终重新分发更新的证书,以防文件在其他地方使用。
kubeadm certs renew scheduler.conf [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--csr-dir string |
| CSR 和私钥的输出路径 |
--csr-only |
| 创建 CSR 而不是生成证书 |
-h, --help |
| scheduler.conf 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。
如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--use-api |
| 使用 Kubernetes 证书 API 续订证书 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
21 -
概要
为指定的 shell(bash 或 zsh)输出 shell 自动补全代码。
必须激活 shell 代码以提供交互式 kubeadm 命令补全。这可以通过加载 .bash_profile 文件完成。
注意: 此功能依赖于 bash-completion
框架。
在 Mac 上使用 homebrew 安装:
brew install bash-completion
安装后,必须激活 bash_completion。这可以通过在 .bash_profile 文件中添加下面的命令行来完成
source $(brew --prefix)/etc/bash_completion
如果在 Linux 上没有安装 bash-completion,请通过您的发行版的包管理器安装 bash-completion
软件包。
zsh 用户注意事项:[1] zsh 自动补全仅在 >=v5.2 及以上版本中支持。
kubeadm completion SHELL [flags]
示例
# 在 Mac 上使用 homebrew 安装 bash completion
brew install bash-completion
printf "\n# Bash completion support\nsource $(brew --prefix)/etc/bash_completion\n" >> $HOME/.bash_profile
source $HOME/.bash_profile
# 将 bash 版本的 kubeadm 自动补全代码加载到当前 shell 中
source <(kubeadm completion bash)
# 将 bash 自动补全完成代码写入文件并且从 .bash_profile 文件加载它
printf "\n# Kubeadm shell completion\nsource '$HOME/.kube/kubeadm_completion.bash.inc'\n" >> $HOME/.bash_profile
source $HOME/.bash_profile
# 将 zsh 版本的 kubeadm 自动补全代码加载到当前 shell 中
source <(kubeadm completion zsh)
选项
-h, --help |
| completion 操作的帮助命令 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
22 -
概要
kube-system 命名空间里有一个名为 "kubeadm-config" 的 ConfigMap,kubeadm 用它来存储有关集群的内部配置。
kubeadm CLI v1.8.0+ 通过一个配置自动创建该 ConfigMap,这个配置是和 'kubeadm init' 共用的。
但是您如果使用 kubeadm v1.7.x 或更低的版本初始化集群,那么必须使用 'config upload' 命令创建该 ConfigMap。
这是必要的操作,目的是使 'kubeadm upgrade' 能够正确地配置升级后的集群。
kubeadm config [flags]
选项
-h, --help |
| config 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
23 -
概要
与 kubeadm 使用的容器镜像交互。
kubeadm config images [flags]
选项
从父命令继承的选项
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
24 -
概要
打印 kubeadm 要使用的镜像列表。配置文件用于自定义任何镜像或镜像存储库。
kubeadm config images list [flags]
选项
--allow-missing-template-keys 默认值:true |
| 如果设置为 true,则在模板中缺少字段或哈希表的键时忽略模板中的任何错误。
仅适用于 golang 和 jsonpath 输出格式。 |
-o, --experimental-output string 默认值:"text" |
| 输出格式:text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file 其中之一 |
--config string |
| kubeadm 配置文件的路径。 |
--feature-gates string |
| 一组键值对(key=value),用于描述各种特征。选项是: Auditing=true|false (ALPHA - 默认=false) CoreDNS=true|false (默认=true) DynamicKubeletConfig=true|false (BETA - 默认=false) |
-h, --help |
| list 操作的帮助命令 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择要从中拉取控制平面镜像的容器仓库 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择一个特定的 Kubernetes 版本 |
从父命令继承的选项
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
25 -
概要
拉取 kubeadm 使用的镜像。
kubeadm config images pull [flags]
选项
--config string |
| kubeadm 配置文件的路径。 |
--cri-socket string |
| 要连接的 CRI 套接字的路径。如果为空,则 kubeadm 将尝试自动检测此值;仅当安装了多个 CRI 或具有非标准 CRI 插槽时,才使用此选项。 |
--feature-gates string |
| 一系列键值对(key=value),用于描述各种特征。可选项是: IPv6DualStack=true|false (ALPHA - 默认值=false) |
-h, --help |
| pull 操作的帮助命令 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择用于拉取控制平面镜像的容器仓库 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择一个特定的 Kubernetes 版本。 |
从父命令继承的选项
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
26 -
概要
此命令允许您在 CLI 工具中将本地旧版本的配置对象转换为最新支持的版本,而无需变更集群中的任何内容。在此版本的 kubeadm 中,支持以下 API 版本:
因此,无论您在此处传递 --old-config 参数的版本是什么,当写入到 stdout 或 --new-config (如果已指定)时,
都会读取、反序列化、默认、转换、验证和重新序列化 API 对象。
换句话说,如果您将此文件传递给 "kubeadm init",则该命令的输出就是 kubeadm 实际上在内部读取的内容。
kubeadm config migrate [flags]
选项
-h, --help |
| migrate 操作的帮助信息 |
--new-config string |
| 使用新的 API 版本生成的 kubeadm 配置文件的路径。这个路径是可选的。如果没有指定,输出将被写到 stdout。 |
--old-config string |
| 使用旧 API 版本且应转换的 kubeadm 配置文件的路径。此参数是必需的。 |
从父命令继承的选项
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果未设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
27 -
打印配置
概要
此命令打印子命令所提供的配置信息。
相关细节可参阅 https://godoc.org/k8s.io/kubernetes/cmd/kubeadm/app/apis/kubeadm/v1beta2
kubeadm config print [flags]
选项
从父命令继承而来的选项
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如此标志未设置,将在一组标准位置中搜索现有的kubeconfig 文件。 |
--rootfs string |
| [试验性] 指向“真实”宿主根文件系统的路径。 |
28 -
概要
此命令打印对象,例如用于 'kubeadm init' 的默认 init 配置对象。
请注意,Bootstrap Token 字段之类的敏感值已替换为 {"abcdef.0123456789abcdef" "" "nil" <nil> [] []} 之类的占位符值以通过验证,但不执行创建令牌的实际计算。
kubeadm config print init-defaults [flags]
选项
--component-configs stringSlice |
| 组件配置 API 对象的逗号分隔列表,打印其默认值。可用值:[KubeProxyConfiguration KubeletConfiguration]。如果未设置此参数,则不会打印任何组件配置。 |
-h, --help |
| init-defaults 操作的帮助命令 |
从父命令继承的选项
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
29 -
概要
此命令打印对象,例如用于 'kubeadm join' 的默认 join 配置对象。
请注意,诸如启动引导令牌字段之类的敏感值已替换为 {"abcdef.0123456789abcdef" "" "nil" <nil> [] []}
之类的占位符值以通过验证,但不执行创建令牌的实际计算。
kubeadm config print join-defaults [flags]
选项
--component-configs stringSlice |
| 组件配置 API 对象的逗号分隔列表,打印其默认值。可用值:[KubeProxyConfiguration KubeletConfiguration]。如果未设置此参数,则不会打印任何组件配置。 |
-h, --help |
| join-defaults 操作的帮助命令 |
从父命令继承的选项
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
30 -
概要
运行此命令来搭建 Kubernetes 控制平面节点。
"init" 命令执行以下阶段:
preflight Run pre-flight checks
certs Certificate generation
/ca Generate the self-signed Kubernetes CA to provision identities for other Kubernetes components
/apiserver Generate the certificate for serving the Kubernetes API
/apiserver-kubelet-client Generate the certificate for the API server to connect to kubelet
/front-proxy-ca Generate the self-signed CA to provision identities for front proxy
/front-proxy-client Generate the certificate for the front proxy client
/etcd-ca Generate the self-signed CA to provision identities for etcd
/etcd-server Generate the certificate for serving etcd
/etcd-peer Generate the certificate for etcd nodes to communicate with each other
/etcd-healthcheck-client Generate the certificate for liveness probes to healthcheck etcd
/apiserver-etcd-client Generate the certificate the apiserver uses to access etcd
/sa Generate a private key for signing service account tokens along with its public key
kubeconfig Generate all kubeconfig files necessary to establish the control plane and the admin kubeconfig file
/admin Generate a kubeconfig file for the admin to use and for kubeadm itself
/kubelet Generate a kubeconfig file for the kubelet to use *only* for cluster bootstrapping purposes
/controller-manager Generate a kubeconfig file for the controller manager to use
/scheduler Generate a kubeconfig file for the scheduler to use
kubelet-start Write kubelet settings and (re)start the kubelet
control-plane Generate all static Pod manifest files necessary to establish the control plane
/apiserver Generates the kube-apiserver static Pod manifest
/controller-manager Generates the kube-controller-manager static Pod manifest
/scheduler Generates the kube-scheduler static Pod manifest
etcd Generate static Pod manifest file for local etcd
/local Generate the static Pod manifest file for a local, single-node local etcd instance
upload-config Upload the kubeadm and kubelet configuration to a ConfigMap
/kubeadm Upload the kubeadm ClusterConfiguration to a ConfigMap
/kubelet Upload the kubelet component config to a ConfigMap
upload-certs Upload certificates to kubeadm-certs
mark-control-plane Mark a node as a control-plane
bootstrap-token Generates bootstrap tokens used to join a node to a cluster
kubelet-finalize Updates settings relevant to the kubelet after TLS bootstrap
/experimental-cert-rotation Enable kubelet client certificate rotation
addon Install required addons for passing Conformance tests
/coredns Install the CoreDNS addon to a Kubernetes cluster
/kube-proxy Install the kube-proxy addon to a Kubernetes cluster
kubeadm init [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,则使用默认网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| API 服务器绑定的端口。 |
--apiserver-cert-extra-sans stringSlice |
| 用于 API Server 服务证书的可选附加主题备用名称(SAN)。可以是 IP 地址和 DNS 名称。 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--certificate-key string |
| 用于加密 kubeadm-certs Secret 中的控制平面证书的密钥。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
--cri-socket string |
| 要连接的 CRI 套接字的路径。如果为空,则 kubeadm 将尝试自动检测此值;仅当安装了多个 CRI 或具有非标准 CRI 插槽时,才使用此选项。 |
--dry-run |
| 不要应用任何更改;只是输出将要执行的操作。 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录路径。
例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。
默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。
"suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 |
--feature-gates string |
| 一组用来描述各种功能特性的键值(key=value)对。选项是: IPv6DualStack=true|false (ALPHA - default=false) |
-h, --help |
| init 操作的帮助命令 |
--ignore-preflight-errors stringSlice |
| 错误将显示为警告的检查列表;例如:'IsPrivilegedUser,Swap'。取值为 'all' 时将忽略检查中的所有错误。 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择用于拉取控制平面镜像的容器仓库 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择一个特定的 Kubernetes 版本。 |
--node-name string |
| 指定节点的名称。 |
--pod-network-cidr string |
| 指明 pod 网络可以使用的 IP 地址段。如果设置了这个参数,控制平面将会为每一个节点自动分配 CIDRs。 |
--service-cidr string 默认值:"10.96.0.0/12" |
| 为服务的虚拟 IP 地址另外指定 IP 地址段 |
--service-dns-domain string 默认值:"cluster.local" |
| 为服务另外指定域名,例如:"myorg.internal"。 |
--skip-certificate-key-print |
| 不要打印用于加密控制平面证书的密钥。 |
--skip-phases stringSlice |
| 要跳过的阶段列表 |
--skip-token-print |
| 跳过打印 'kubeadm init' 生成的默认引导令牌。 |
--token string |
| 这个令牌用于建立控制平面节点与工作节点间的双向通信。格式为 [a-z0-9]{6}\.[a-z0-9]{16} - 示例:abcdef.0123456789abcdef |
--token-ttl duration 默认值:24h0m0s |
| 令牌被自动删除之前的持续时间(例如 1 s,2 m,3 h)。如果设置为 '0',则令牌将永不过期 |
--upload-certs |
| 将控制平面证书上传到 kubeadm-certs Secret。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
31 -
概要
使用此命令可以调用 init 工作流程的单个阶段
选项
继承于父命令的选择项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
32 -
概要
此命令并非设计用来单独运行。请参阅可用子命令列表。
kubeadm init phase addon [flags]
选项
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
33 -
概要
安装所有插件(addon)
kubeadm init phase addon all [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,则将使用默认网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| API 服务器绑定的端口。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
--feature-gates string |
| 一组键值对(key=value),描述了各种特征。选项包括: IPv6DualStack=true|false (ALPHA - 默认值=false) |
-h, --help |
| --image-repository string 默认值:"k8s.gcr.io" |
| 选择用于拉取控制平面镜像的容器仓库 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
--pod-network-cidr string |
| 指定 Pod 网络的 IP 地址范围。如果已设置,控制平面将自动为每个节点分配 CIDR。 |
--service-cidr string 默认值:"10.96.0.0/12" |
| 为服务 VIP 使用 IP 地址的其他范围。 |
--service-dns-domain string 默认值:"cluster.local" |
| 为服务使用其他域名,例如 "myorg.internal"。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
34 -
概要
通过 API 服务器安装 CoreDNS 附加组件。请注意,即使 DNS 服务器已部署,在安装 CNI 之前 DNS 服务器不会被调度执行。
kubeadm init phase addon coredns [flags]
选项
--config string |
| kubeadm 配置文件的路径。 |
--feature-gates string |
| 一组用来描述各种功能特性的键值(key=value)对。选项是: IPv6DualStack=true|false (ALPHA - 默认值=false) |
-h, --help |
| coredns 操作的帮助命令 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择用于拉取控制平面镜像的容器仓库 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
--service-cidr string 默认值:"10.96.0.0/12" |
| 为服务 VIP 选择 IP 地址范围。 |
--service-dns-domain string 默认值:"cluster.local" |
| 服务使用其它的域名,例如:"myorg.internal"。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
35 -
概要
通过 API 服务器安装 kube-proxy 附加组件。
kubeadm init phase addon kube-proxy [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,则将使用默认网络接口。 |
--apiserver-bind-port int32 默认值: 6443 |
| API 服务器绑定的端口。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
-h, --help |
| kube-proxy 操作的帮助命令 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择用于拉取控制平面镜像的容器仓库 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
--pod-network-cidr string |
| 指定 Pod 网络的 IP 地址范围。如果已设置,控制平面将自动为每个节点分配 CIDR。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
36 -
概要
启动引导令牌(bootstrap token)用于在即将加入集群的节点和控制平面节点之间建立双向信任。
该命令使启动引导令牌(bootstrap token)所需的所有配置生效,然后创建初始令牌。
kubeadm init phase bootstrap-token [flags]
示例
# 进行所有引导令牌配置,并创建一个初始令牌,功能上与 kubeadm init 生成的令牌等效。
kubeadm init phase bootstrap-token
选项
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| bootstrap-token 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
--skip-token-print |
| 跳过打印 'kubeadm init' 生成的默认引导令牌。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
37 -
概要
此命令并非设计用来单独运行。请参阅可用子命令列表。
kubeadm init phase certs [flags]
选项
从父指令中继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
38 -
概要
生成所有证书
kubeadm init phase certs all [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,将使用默认网络接口。 |
--apiserver-cert-extra-sans stringSlice |
| 用于 API 服务器服务证书的可选额外替代名称(SAN)。可以同时使用 IP 地址和 DNS 名称。 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 证书的存储路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
-h, --help |
| all 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
--service-cidr string 默认值:"10.96.0.0/12" |
| VIP 服务使用其它的 IP 地址范围。 |
--service-dns-domain string 默认值:"cluster.local" |
| 服务使用其它的域名,例如:"myorg.internal"。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
39 -
概要
生成 apiserver 用于访问 etcd 的证书,并将其保存到 apiserver-etcd-client.cert 和 apiserver-etcd-client.key 文件中。
如果两个文件都已存在,则 kubeadm 将跳过生成步骤,使用现有文件。
Alpha 免责声明:此命令当前为 Alpha 功能。
kubeadm init phase certs apiserver-etcd-client [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 证书的存储路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| apiserver-etcd-client 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面指定特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
40 -
概要
生成供 API 服务器连接 kubelet 的证书,并将其保存到 apiserver-kubelet-client.cert 和 apiserver-kubelet-client.key 文件中。
如果两个文件都已存在,则 kubeadm 将跳过生成步骤,使用现有文件。
Alpha 免责声明:此命令当前为 Alpha 功能。
kubeadm init phase certs apiserver-kubelet-client [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件路径。 |
-h, --help |
| apiserver-kubelet-client 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面指定特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs string |
| [实验] 指向宿主机上的 '实际' 根文件系统的路径。 |
41 -
概要
生成用于服务 Kubernetes API 的证书,并将其保存到 apiserver.cert 和 apiserver.key 文件中。
默认 SAN 是 kubernetes、kubernetes.default、kubernetes.default.svc、kubernetes.default.svc.cluster.local、10.96.0.1、127.0.0.1。
如果两个文件都已存在,则 kubeadm 将跳过生成步骤,使用现有文件。
Alpha 免责声明:此命令当前为 Alpha 功能。
kubeadm init phase certs apiserver [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,则使用默认的网络接口。 |
--apiserver-cert-extra-sans stringSlice |
| 用于 API Server 服务证书的可选附加主体备用名称(SAN)。可以是 IP 地址和 DNS 名称。 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 证书的存储路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
-h, --help |
| apiserver 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面指定特定的 Kubernetes 版本。 |
--service-cidr string 默认值:"10.96.0.0/12" |
| 指定服务 VIP 可使用的其他 IP 地址段。 |
--service-dns-domain string 默认值:"cluster.local" |
| 为服务使用其他域名,例如 "myorg.internal"。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
42 -
概要
生成自签名的 Kubernetes CA 以提供其他 Kubernetes 组件的身份,并将其保存到 ca.cert 和 ca.key 文件中。
如果两个文件都已存在,则 kubeadm 将跳过生成步骤,使用现有文件。
Alpha 免责声明:此命令当前为 Alpha 功能。
kubeadm init phase certs ca [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 证书的存储路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| ca 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
43 -
概要
生成用于为 etcd 设置身份的自签名 CA,并将其保存到 etcd/ca.cert 和 etcd/ca.key 文件中。
如果两个文件都已存在,则 kubeadm 将跳过生成步骤,使用现有文件。
Alpha 免责声明:此命令当前为 Alpha 功能。
kubeadm init phase certs etcd-ca [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 证书的存储路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| etcd-ca 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
44 -
概要
生成用于 etcd 健康检查的活跃性探针的证书,并将其保存到 healthcheck-client.cert 和 etcd/healthcheck-client.key 文件中。
如果两个文件都已存在,则 kubeadm 将跳过生成步骤,使用现有文件。
Alpha 免责声明:此命令当前为 alpha 功能。
kubeadm init phase certs etcd-healthcheck-client [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 证书存储的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| etcd-healthcheck-client 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
45 -
概要
生成 etcd 节点相互通信的证书,并将其保存到 etcd/peer.cert 和 etcd/peer.key 文件中。
默认 SAN 为 localhost、127.0.0.1、127.0.0.1、:: 1
如果两个文件都已存在,则 kubeadm 将跳过生成步骤,使用现有文件。
Alpha 免责声明:此命令当前为 alpha 功能。
kubeadm init phase certs etcd-peer [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| etcd-peer 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面指定特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
46 -
概要
生成用于提供 etcd 服务的证书,并将其保存到 etcd/server.cert 和 etcd/server.key 文件中。
默认 SAN 为 localhost、127.0.0.1、127.0.0.1、:: 1
如果两个文件都已存在,则 kubeadm 将跳过生成步骤,使用现有文件。
Alpha 免责声明:此命令当前为 alpha 功能。
kubeadm init phase certs etcd-server [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| etcd-server 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面指定特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
47 -
概要
生成自签名 CA 来提供前端代理的身份,并将其保存到 front-proxy-ca.cert 和 front-proxy-ca.key 文件中。
如果两个文件都已存在,kubeadm 将跳过生成步骤并将使用现有文件。
Alpha 免责声明:此命令目前是 alpha 阶段。
kubeadm init phase certs front-proxy-ca [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| front-proxy-ca 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
48 -
概要
为前端代理客户端生成证书,并将其保存到 front-proxy-client.cert 和 front-proxy-client.key 文件中。
如果两个文件都已存在,kubeadm 将跳过生成步骤并将使用现有文件。
Alpha 免责声明:此命令目前是 alpha 阶段。
kubeadm init phase certs front-proxy-client [flags]
选项
--cert-dir string 默认:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| front-proxy-client 操作的帮助命令 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
49 -
概要
生成用于签名 service account 令牌的私钥及其公钥,并将其保存到 sa.key 和 sa.pub 文件中。如果两个文件都已存在,则 kubeadm 会跳过生成步骤,而将使用现有文件。
Alpha 免责声明:此命令当前为 alpha 阶段。
kubeadm init phase certs sa [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
-h, --help |
| sa 操作的帮助命令 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
50 -
概要
此命令并非设计用来单独运行。请参阅可用子命令列表。
kubeadm init phase control-plane [flags]
选项
-h, --help |
| control-plane 操作的帮助命令 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
51 -
概要
生成所有的静态 Pod 清单文件
kubeadm init phase control-plane all [flags]
示例
# 为控制平面组件生成静态 Pod 清单文件,其功能等效于 kubeadm init 生成的文件。
kubeadm init phase control-plane all
# 使用从某配置文件中读取的选项为生成静态 Pod 清单文件。
kubeadm init phase control-plane all --config config.yaml
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,将使用默认的网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| API 服务器要绑定的端口。 |
--apiserver-extra-args mapStringString |
| 形式为 <flagname>=<value> 的一组额外参数,用来传递给 API 服务器,
或者覆盖其默认配置值 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面选择一个稳定的 IP 地址或者 DNS 名称。 |
--controller-manager-extra-args mapStringString |
| 一组形式为 <flagname>=<value> 的额外参数,用来传递给控制管理器(Controller Manager)
或覆盖其默认设置值 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录。
例如,"kube-apiserver0+merge.yaml" 或者 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,分别与 kubectl
所支持的 patch 格式相匹配。默认的 "patchtype" 是 "strategic"。
"extension" 必须是 "json" 或 "yaml"。
"suffix" 是一个可选的字符串,用来确定按字母顺序排序时首先应用哪些 patch。 |
--feature-gates string |
| 一组用来描述各种特性门控的键值(key=value)对。选项是: IPv6DualStack=true|false (ALPHA - 默认=false) PublicKeysECDSA=true|false (ALPHA - 默认=false) |
-h, --help |
| all 操作的帮助命令 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择用于拉取控制平面镜像的容器仓库 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择指定的 Kubernetes 版本。 |
--pod-network-cidr string |
| 指定 Pod 网络的 IP 地址范围。如果设置了此标志,控制平面将自动地为每个节点分配 CIDR。 |
--scheduler-extra-args mapStringString |
| 一组形式为 <flagname>=<value> 的额外参数,用来传递给调度器(Scheduler)
或覆盖其默认设置值 传递给调度器(scheduler)一组额外的参数或者以 <flagname>=<value> 形式覆盖其默认值。 |
--service-cidr string 默认值:"10.96.0.0/12" |
| 为服务 VIP 选择 IP 地址范围。 |
从父指令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机的根文件系统的路径。 |
52 -
概要
生成 kube-apiserver 静态 Pod 清单
kubeadm init phase control-plane apiserver [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,将使用默认网络接口。 |
--apiserver-bind-port int32 默认值: 6443 |
| 要绑定到 API 服务器的端口。 |
--apiserver-extra-args mapStringString |
| 一组 <flagname>=<value> 形式的额外参数,用来传递给 API 服务器
或者覆盖其默认参数配置 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录。
例如,"kube-apiserver0+merge.yaml" 或者 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,分别与 kubectl
所支持的 patch 格式相匹配。默认的 "patchtype" 是 "strategic"。
"extension" 必须是 "json" 或 "yaml"。
"suffix" 是一个可选的字符串,用来确定按字母顺序排序时首先应用哪些 patch。 |
--feature-gates string |
| 一组键值对,用于描述各种功能特性的特性门控。选项是: IPv6DualStack=true|false (ALPHA - 默认=false) PublicKeysECDSA=true|false (ALPHA - 默认=false) |
-h, --help |
| apiserver 操作的帮助命令 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择要从中拉取控制平面镜像的容器仓库 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本 |
--service-cidr string 默认值:"10.96.0.0/12" |
| 指定服务 VIP 使用 IP 地址的其他范围。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统路径。 |
53 -
概要
生成 kube-controller-manager 静态 Pod 清单
kubeadm init phase control-plane controller-manager [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--controller-manager-extra-args mapStringString |
| 一组 <flagname>=< 形式的额外参数,传递给控制器管理器(Controller Manager)
或者覆盖其默认配置值 |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录。
例如,"kube-apiserver0+merge.yaml" 或者 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,分别与 kubectl
所支持的 patch 格式相匹配。默认的 "patchtype" 是 "strategic"。
"extension" 必须是 "json" 或 "yaml"。
"suffix" 是一个可选的字符串,用来确定按字母顺序排序时首先应用哪些 patch。 |
-h, --help |
| controller-manager 操作的帮助命令 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择要从中拉取控制平面镜像的容器仓库 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
--pod-network-cidr string |
| 指定 Pod 网络的 IP 地址范围。如果设置,控制平面将自动为每个节点分配 CIDR。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
54 -
概要
生成 kube-scheduler 静态 Pod 清单
kubeadm init phase control-plane scheduler [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录。
例如,"kube-apiserver0+merge.yaml" 或者 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,分别与 kubectl
所支持的 patch 格式相匹配。默认的 "patchtype" 是 "strategic"。
"extension" 必须是 "json" 或 "yaml"。
"suffix" 是一个可选的字符串,用来确定按字母顺序排序时首先应用哪些 patch。 |
-h, --help |
| scheduler 操作的帮助命令 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择要从中拉取控制平面镜像的容器仓库 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
--scheduler-extra-args mapStringString |
| 一组 <flagname>=<value> 形式的额外参数,用来传递给调度器
或者覆盖其默认参数配置 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
55 -
概要
此命令并非设计用来单独运行。请参阅可用子命令列表。
kubeadm init phase etcd [flags]
选项
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
56 -
概要
为本地单节点 etcd 实例生成静态 Pod 清单文件
kubeadm init phase etcd local [flags]
示例
# 为 etcd 生成静态 Pod 清单文件,其功能等效于 kubeadm init 生成的文件。
kubeadm init phase etcd local
# 使用从配置文件读取的选项为 etcd 生成静态 Pod 清单文件。
kubeadm init phase etcd local --config config.yaml
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录的路径。
例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。
默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。
"suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 |
-h, --help |
| local 操作的帮助命令 |
--image-repository string 默认值:"k8s.gcr.io" |
| 选择要从中拉取控制平面镜像的容器仓库 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
57 -
概要
此命令并非设计用来单独运行。请阅读可用子命令列表。
kubeadm init phase kubeconfig [flags]
选项
-h, --help |
| kubeconfig 操作的帮助命令 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
58 -
概要
为管理员和 kubeadm 本身生成 kubeconfig 文件,并将其保存到 admin.conf 文件中。
kubeadm init phase kubeconfig admin [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,则使用默认的网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| 要绑定到 API 服务器的端口。 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
-h, --help |
| admin 操作的帮助命令 |
--kubeconfig-dir string 默认值:"/etc/kubernetes" |
| kubeconfig 文件的保存路径。 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面指定特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
59 -
概要
生成所有 kubeconfig 文件
kubeadm init phase kubeconfig all [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果没有设置,将使用默认的网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| 要绑定到 API 服务器的端口。 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
-h, --help |
| all 操作的帮助命令 |
--kubeconfig-dir string 默认值:"/etc/kubernetes" |
| kubeconfig 文件的保存路径。 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面指定特定的 Kubernetes 版本。 |
--node-name string |
| 指定节点名称。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
60 -
概要
生成控制器管理器要使用的 kubeconfig 文件,并保存到 controller-manager.conf 文件中。
kubeadm init phase kubeconfig controller-manager [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,则使用默认的网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| 要绑定到 API 服务器的端口。 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 | -h, --help |
| controller-manager 操作的帮助命令 |
--kubeconfig-dir string 默认值:"/etc/kubernetes" |
| kubeconfig 文件的保存路径。 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面指定特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs 字符串 |
| [实验] 到 '真实' 主机根文件系统的路径。 |
61 -
概要
生成 kubelet 要使用的 kubeconfig 文件,并将其保存到 kubelet.conf 文件。
请注意,该操作目的是仅应用于引导集群。在控制平面启动之后,应该从 CSR API 请求所有 kubelet 凭据。
kubeadm init phase kubeconfig kubelet [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,则使用默认的网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| 要绑定到 API 服务器的端口。 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
-h, --help |
| kubelet 操作的帮助命令 |
--kubeconfig-dir string 默认值:"/etc/kubernetes" |
| kubeconfig 文件的保存路径。 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面选择特定的 Kubernetes 版本。 |
--node-name string |
| 指定节点的名称。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
62 -
概要
生成调度器(scheduler)要使用的 kubeconfig 文件,并保存到 scheduler.conf 文件中。
kubeadm init phase kubeconfig scheduler [flags]
选项
--apiserver-advertise-address string |
| API 服务器所公布的其正在监听的 IP 地址。如果未设置,则使用默认的网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| 要绑定到 API 服务器的端口。 |
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane-endpoint string |
| 为控制平面指定一个稳定的 IP 地址或 DNS 名称。 |
-h, --help |
| scheduler 操作的帮助命令 |
--kubeconfig-dir string 默认值:"/etc/kubernetes" |
| kubeconfig 文件的保存路径。 |
--kubernetes-version string 默认值:"stable-1" |
| 为控制平面指定特定的 Kubernetes 版本。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
63 -
TLS 引导后更新与 kubelet 相关的设置
kubeadm init phase kubelet-finalize [flags]
示例
# 在 TLS 引导后更新与 kubelet 相关的设置
kubeadm init phase kubelet-finalize all --config
选项
-h, --help |
| kubelet-finalize 操作的帮助命令 |
继承于父命令的选项
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
64 -
运行所有 kubelet-finalize 阶段
kubeadm init phase kubelet-finalize all [flags]
示例
# 在 TLS 引导后更新与 kubelet 相关的设置
kubeadm init phase kubelet-finalize all --config
选项
--cert-dir string 默认值: "/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| all 操作的帮助命令 |
继承于父命令的选项
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
65 -
启用 kubelet 客户端证书轮换
kubeadm init phase kubelet-finalize experimental-cert-rotation [flags]
选项
--cert-dir string Default: "/etc/kubernetes/pki" |
| 保存和存储证书的路径。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| experimental-cert-rotation 操作的帮助命令 |
继承于父命令的选项
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
66 -
概要
使用 kubelet 配置文件编写一个文件,并使用特定节点的 kubelet 设置编写一个环境文件,然后(重新)启动 kubelet。
kubeadm init phase kubelet-start [flags]
示例
# 从 InitConfiguration 文件中写入带有 kubelet 参数的动态环境文件。
kubeadm init phase kubelet-start --config config.yaml
选项
--config string |
| kubeadm 配置文件的路径。 |
--cri-socket string |
| 连接到 CRI 套接字的路径。如果为空,则 kubeadm 将尝试自动检测该值;仅当安装了多个 CRI 或具有非标准 CRI 套接字时,才使用此选项。 |
-h, --help |
| kubelet-start 操作的帮助命令 |
--node-name string |
| 指定节点名称。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
67 -
概要
标记 Node 节点为控制平面节点
kubeadm init phase mark-control-plane [flags]
示例
# 将控制平面标签和污点应用于当前节点,其功能等效于 kubeadm init执行的操作。
kubeadm init phase mark-control-plane --config config.yml
# 将控制平面标签和污点应用于特定节点
kubeadm init phase mark-control-plane --node-name myNode
选项
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| mark-control-plane 操作的帮助命令 |
--node-name string |
| 指定节点名称。 |
从父命令继承的选项
--rootfs 字符串 |
| [实验] 到 '真实' 主机根文件系统的路径。 |
68 -
概要
运行 kubeadm init 前的启动检查。
kubeadm init phase preflight [flags]
案例
# 使用配置文件对 kubeadm init 进行启动检查。
kubeadm init phase preflight --config kubeadm-config.yml
选项
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| preflight 操作的帮助命令 |
--ignore-preflight-errors stringSlice |
| 错误将显示为警告的检查列表:例如:'IsPrivilegedUser,Swap'。取值为 'all' 时将忽略检查中的所有错误。 |
继承于父命令的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
69 -
概要
此命令并非设计用来单独运行。请参阅可用子命令列表。
kubeadm init phase upload-certs [flags]
选项
--certificate-key string |
| 用于加密 kubeadm-certs Secret 中的控制平面证书的密钥。 |
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| upload-certs 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用来与集群通信的 kubeconfig 文件。
如果此标志未设置,则可以在一组标准的位置搜索现有的 kubeconfig 文件。 |
--skip-certificate-key-print |
| 不要打印输出用于加密控制平面证书的密钥。 |
--upload-certs |
| 将控制平面证书上传到 kubeadm-certs Secret。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
70 -
概要
此命令并非设计用来单独运行。请参阅可用的子命令列表。
kubeadm init phase upload-config [flags]
选项
-h, --help |
| upload-config 操作的帮助命令 |
从父命令中继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
71 -
概要
将所有配置上传到 ConfigMap
kubeadm init phase upload-config all [flags]
选项
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| all 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
72 -
概要
将 kubeadm ClusterConfiguration 上传到 kube-system 命名空间中名为 kubeadm-config 的 ConfigMap 中。
这样就可以正确配置系统组件,并在升级时提供无缝的用户体验。
另外,可以使用 kubeadm 配置。
kubeadm init phase upload-config kubeadm [flags]
示例
# 上传集群配置
kubeadm init phase upload-config --config=myConfig.yaml
选项
--config string |
| kubeadm 配置文件的路径。 |
-h, --help |
| kubeadm 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该参数,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
73 -
概要
将从 kubeadm InitConfiguration 对象提取的 kubelet 配置上传到集群中 kubelet-config-1.X 形式的
ConfigMap,其中 X 是当前(API 服务器)Kubernetes 版本的次要版本。
kubeadm init phase upload-config kubelet [flags]
示例
# 将 kubelet 配置从 kubeadm 配置文件上传到集群中的 ConfigMap。
kubeadm init phase upload-config kubelet --config kubeadm.yaml
选项
--config string |
| 到 kubeadm 配置文件的路径。 |
-h, --help |
| kubelet 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该标签,则可以通过一组标准路径来寻找已有的 kubeconfig 文件。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
74 -
摘要
当节点加入 kubeadm 初始化的集群时,我们需要建立双向信任。
这个过程可以分解为发现(让待加入节点信任 Kubernetes 控制平面节点)和 TLS 引导(让Kubernetes 控制平面节点信任待加入节点)两个部分。
有两种主要的发现方案。
第一种方法是使用共享令牌和 API 服务器的 IP 地址。
第二种是提供一个文件 - 标准 kubeconfig 文件的一个子集。
该文件可以是本地文件,也可以通过 HTTPS URL 下载。
格式是 kubeadm join --discovery-token abcdef.1234567890abcdef 1.2.3.4:6443
、kubeadm join--discovery-file path/to/file.conf
或者kubeadm join --discovery-file https://url/file.conf
。
只能使用其中一种。
如果发现信息是从 URL 加载的,必须使用 HTTPS。
此外,在这种情况下,主机安装的 CA 包用于验证连接。
如果使用共享令牌进行发现,还应该传递 --discovery-token-ca-cert-hash 参数来验证 Kubernetes 控制平面节点提供的根证书颁发机构(CA)的公钥。
此参数的值指定为 "<hash-type>:<hex-encoded-value>",其中支持的哈希类型为 "sha256"。哈希是通过 Subject Public Key Info(SPKI)对象的字节计算的(如 RFC7469)。
这个值可以从 "kubeadm init" 的输出中获得,或者可以使用标准工具进行计算。
可以多次重复 --discovery-token-ca-cert-hash 参数以允许多个公钥。
如果无法提前知道 CA 公钥哈希,则可以通过 --discovery-token-unsafe-skip-ca-verification 参数禁用此验证。
这削弱了kubeadm 安全模型,因为其他节点可能会模仿 Kubernetes 控制平面节点。
TLS 引导机制也通过共享令牌驱动。
这用于向 Kubernetes 控制平面节点进行临时的身份验证,以提交本地创建的密钥对的证书签名请求(CSR)。
默认情况下,kubeadm 将设置 Kubernetes 控制平面节点自动批准这些签名请求。
这个令牌通过 --tls-bootstrap-token abcdef.1234567890abcdef 参数传入。
通常两个部分会使用相同的令牌。
在这种情况下可以使用 --token 参数,而不是单独指定每个令牌。
"join [api-server-endpoint]" 命令执行下列阶段:
preflight Run join pre-flight checks
control-plane-prepare Prepare the machine for serving a control plane
/download-certs [EXPERIMENTAL] Download certificates shared among control-plane nodes from the kubeadm-certs Secret
/certs Generate the certificates for the new control plane components
/kubeconfig Generate the kubeconfig for the new control plane components
/control-plane Generate the manifests for the new control plane components
kubelet-start Write kubelet settings, certificates and (re)start the kubelet
control-plane-join Join a machine as a control plane instance
/etcd Add a new local etcd member
/update-status Register the new control-plane node into the ClusterStatus maintained in the kubeadm-config ConfigMap
/mark-control-plane Mark a node as a control-plane
kubeadm join [api-server-endpoint] [flags]
选项
--apiserver-advertise-address string |
| 如果该节点托管一个新的控制平面实例,则 API 服务器将公布其正在侦听的 IP 地址。如果未设置,则使用默认网络接口。 |
--apiserver-bind-port int32 默认值: 6443 |
| 如果节点应该托管新的控制平面实例,则为 API 服务器要绑定的端口。 |
--certificate-key string |
| 使用此密钥可以解密由 init 上传的证书 secret。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
--cri-socket string |
| 要连接的 CRI 套接字的路径。如果为空,则 kubeadm 将尝试自动检测此值;仅当安装了多个 CRI 或具有非标准 CRI 插槽时,才使用此选项。 |
--discovery-file string |
| 对于基于文件的发现,给出用于加载集群信息的文件或者 URL。 |
--discovery-token string |
| 对于基于令牌的发现,该令牌用于验证从 API 服务器获取的集群信息。 |
--discovery-token-ca-cert-hash stringSlice |
| 对基于令牌的发现,验证根 CA 公钥是否与此哈希匹配 (格式: "<type>:<value>")。 |
--discovery-token-unsafe-skip-ca-verification |
| 对于基于令牌的发现,允许在未关联 --discovery-token-ca-cert-hash 参数的情况下添加节点。 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录的路径。
例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。
默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。
"suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 |
-h, --help |
| join 操作的帮助命令 |
--ignore-preflight-errors stringSlice |
| 错误将显示为警告的检查列表;例如:'IsPrivilegedUser,Swap'。取值为 'all' 时将忽略检查中的所有错误。 |
--node-name string |
| 指定节点的名称 |
--skip-phases stringSlice |
| 要跳过的阶段列表 |
--tls-bootstrap-token string |
| 指定在加入节点时用于临时通过 Kubernetes 控制平面进行身份验证的令牌。 |
--token string |
| 如果未提供这些值,则将它们用于 discovery-token 令牌和 tls-bootstrap 令牌。 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
75 -
概要
使用此命令来调用 join
工作流程的某个阶段
选项
从父命令中继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
76 -
概要
添加作为控制平面实例的机器
kubeadm join phase control-plane-join [flags]
示例
# 将机器作为控制平面实例加入
kubeadm join phase control-plane-join all
选项
-h, --help |
| control-plane-join 操作的帮助命令 |
从父命令中继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
77 -
概要
添加作为控制平面实例的机器
kubeadm join phase control-plane-join all [flags]
选项
--apiserver-advertise-address string |
| 如果该节点托管一个新的控制平面实例,则 API 服务器将公布其正在侦听的 IP 地址。如果未设置,则使用默认网络接口。 |
--config string |
| kubeadm 配置文件的路径。 |
--experimental-control-plane |
| 在此节点上创建一个新的控制平面实例 |
-h, --help |
| all 操作的帮助命令 |
--node-name string |
| 指定节点名称。 |
从父命令继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
78 -
概要
添加新的本地 etcd 成员
kubeadm join phase control-plane-join etcd [flags]
选项
--apiserver-advertise-address string |
| 如果该节点托管一个新的控制平面实例,则 API 服务器将公布其正在侦听的 IP 地址。如果未设置,则使用默认网络接口。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录的路径。
例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。
"patchtype" 可以是"strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。
默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。
"suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 |
-h, --help |
| etcd 操作的帮助命令 |
--node-name string |
| 指定节点的名称 |
从父命令中继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
79 -
概要
将 Node 节点标记为控制平面节点
kubeadm join phase control-plane-join mark-control-plane [flags]
选项
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
-h, --help |
| mark-control-plane 操作的帮助命令 |
--node-name string |
| 指定节点的名称 |
从父命令中继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
80 -
概要
将新的控制平面节点注册到 kubeadm-config ConfigMap 维护的 ClusterStatus 中
kubeadm join phase control-plane-join update-status [flags]
选项
--apiserver-advertise-address string |
| 如果该节点托管一个新的控制平面实例,则 API 服务器将公布其正在侦听的 IP 地址。如果未设置,则使用默认网络接口。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
-h, --help |
| update-status 操作的帮助命令 |
--node-name string |
| 指定节点名称。 |
从父命令中继承的选项
--rootfs string |
| [实验] 到 '真实' 主机根文件系统的路径。 |
81 -
概要
准备为控制平面服务的机器
kubeadm join phase control-plane-prepare [flags]
示例
# 准备为控制平面服务的机器
kubeadm join phase control-plane-prepare all
选项
-h, --help |
| control-plane-prepare 操作的帮助命令 |
从父命令中继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
82 -
概要
准备为控制平面服务的机器
kubeadm join phase control-plane-prepare all [api-server-endpoint] [flags]
选项
--apiserver-advertise-address string |
| 如果该节点托管一个新的控制平面实例,则 API 服务器将公布其正在侦听的 IP 地址。如果未设置,则使用默认网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| 如果该节点托管一个新的控制平面实例,则为 API 服务器要绑定的端口。 |
--certificate-key string |
| 使用此密钥解密由 init 上传的证书 secrets。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
--discovery-file string |
| 对于基于文件的发现,给出用于加载集群信息的文件或者 URL。 |
--discovery-token string |
| 对于基于令牌的发现,该令牌用于验证从 API 服务器获取的集群信息。 |
--discovery-token-ca-cert-hash stringSlice |
| 对于基于令牌的发现,请验证根 CA 公钥是否匹配此哈希值(格式:"<type>:<value>")。 |
--discovery-token-unsafe-skip-ca-verification |
| 对于基于令牌的发现,允许在未关联 --discovery-token-ca-cert-hash 参数的情况下添加节点。 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录的路径。
例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。
默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。
"suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 |
-h, --help |
| all 操作的帮助命令 |
--node-name string |
| 指定节点名称。 |
--tls-bootstrap-token string |
| 指定在加入节点时用于临时通过 Kubernetes 控制平面进行身份验证的令牌。 |
--token string |
| 如果未提供这些值,则将它们用于 discovery-token 令牌和 tls-bootstrap 令牌。 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
83 -
概要
为新的控制平面组件生成证书
kubeadm join phase control-plane-prepare certs [api-server-endpoint] [flags]
选项
--apiserver-advertise-address string |
| 如果该节点托管一个新的控制平面实例,则 API 服务器将公布其正在侦听的 IP 地址。如果未设置,则使用默认网络接口。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
--discovery-file string |
| 对于基于文件的发现,给出用于加载集群信息的文件或者 URL。 |
--discovery-token string |
| 对于基于令牌的发现,该令牌用于验证从 API 服务器获取的集群信息。 |
--discovery-token-ca-cert-hash stringSlice |
| 对于基于令牌的发现,请验证根 CA 公钥是否匹配此哈希值(格式:"<type>:<value>")。 |
--discovery-token-unsafe-skip-ca-verification |
| 对于基于令牌的发现,允许在未关联 --discovery-token-ca-cert-hash 参数的情况下添加节点。 |
-h, --help |
| certs 操作的帮助命令 |
--node-name string |
| 指定节点名称。 |
--tls-bootstrap-token string |
| 指定在加入节点时用于临时通过 Kubernetes 控制平面进行身份验证的令牌。 |
--token string |
| 如果未提供这些值,则将它们用于 discovery-token 令牌和 tls-bootstrap 令牌。 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
84 -
概要
为新的控制平面组件生成清单(manifest)
kubeadm join phase control-plane-prepare control-plane [flags]
选项
--apiserver-advertise-address string |
| 对于将要托管新的控制平面实例的节点,指定 API 服务器将公布的其正在侦听的 IP 地址。如果未设置,则使用默认网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| 针对将要托管新的控制平面实例的节点,设置 API 服务器要绑定的端口。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录的路径。
例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。
默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。
"suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 |
-h, --help |
| control-plane 操作的帮助命令 |
从父命令中继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
85 -
概要
[实验]从 kubeadm-certs Secret 下载控制平面节点之间共享的证书
kubeadm join phase control-plane-prepare download-certs [api-server-endpoint] [flags]
选项
--certificate-key string |
| 使用此密钥可以解密由 init 上传的证书 secret。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
--discovery-file string |
| 对于基于文件的发现,给出用于加载集群信息的文件或者 URL。 |
--discovery-token string |
| 对于基于令牌的发现,该令牌用于验证从 API 服务器获取的集群信息。 |
--discovery-token-ca-cert-hash stringSlice |
| 对于基于令牌的发现,请验证根 CA 公钥是否匹配此哈希值(格式:"<type>:<value>")。 |
--discovery-token-unsafe-skip-ca-verification |
| 对于基于令牌的发现,允许在未关联 --discovery-token-ca-cert-hash 参数的情况下添加节点。 |
-h, --help |
| kubeconfig 操作的帮助命令 |
--tls-bootstrap-token string |
| 指定在加入节点时用于临时通过 Kubernetes 控制平面进行身份验证的令牌。 |
--token string |
| 如果未提供这些值,则将它们用于 discovery-token 令牌和 tls-bootstrap 令牌。 |
从父命令中继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
86 -
概要
为新的控制平面组件生成 kubeconfig
kubeadm join phase control-plane-prepare kubeconfig [api-server-endpoint] [flags]
选项
--certificate-key string |
| 使用此密钥可以解密由 init 上传的证书 secret。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
--discovery-file string |
| 对于基于文件的发现,给出用于加载集群信息的文件或者 URL。 |
--discovery-token string |
| 对于基于令牌的发现,该令牌用于验证从 API 服务器获取的集群信息。 |
--discovery-token-ca-cert-hash stringSlice |
| 对于基于令牌的发现,请验证根 CA 公钥是否匹配此哈希值(格式:"<type>:<value>")。 |
--discovery-token-unsafe-skip-ca-verification |
| 对于基于令牌的发现,允许在未关联 --discovery-token-ca-cert-hash 参数的情况下添加节点。 |
-h, --help |
| kubeconfig 操作的帮助命令 |
--tls-bootstrap-token string |
| 指定在加入节点时用于临时通过 Kubernetes 控制平面进行身份验证的令牌。 |
--token string |
| 如果未提供这些值,则将它们用于 discovery-token 令牌和 tls-bootstrap 令牌。 |
从父命令中继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
87 -
概要
生成一个包含 KubeletConfiguration 的文件和一个包含特定于节点的 kubelet 配置的环境文件,然后(重新)启动 kubelet。
kubeadm join phase kubelet-start [api-server-endpoint] [flags]
选项
--config string |
| kubeadm 配置文件的路径。 |
--cri-socket string |
| 提供给 CRI 套接字建立连接的路径。如果为空,则 kubeadm 将尝试自动检测该值;仅当安装了多个 CRI 或具有非标准 CRI 套接字时,才使用此选项。 |
--discovery-file string |
| For file-based discovery, a file or URL from which to load cluster information.
对于基于文件的发现,给出用于加载集群信息的文件或者 URL。 |
--discovery-token string |
| 对于基于令牌的发现,该令牌用于验证从 API 服务器获取的集群信息。 |
--discovery-token-ca-cert-hash stringSlice |
| 对于基于令牌的发现,验证根 CA 公钥是否匹配此哈希值(格式:"<type>:<value>")。 |
--discovery-token-unsafe-skip-ca-verification |
| 对于基于令牌的发现,允许在未关联 --discovery-token-ca-cert-hash 参数的情况下添加节点。 |
-h, --help |
| kubelet-start 操作的帮助命令 |
--node-name string |
| 指定节点名称。 |
--tls-bootstrap-token string |
| 指定在加入节点时用于临时通过 Kubernetes 控制平面进行身份验证的令牌。 |
--token string |
| 如果未提供这些值,则将它们用于 discovery-token 令牌和 tls-bootstrap 令牌。 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
88 -
概要
运行 kubeadm join 命令添加节点前检查。
kubeadm join phase preflight [api-server-endpoint] [flags]
示例
# 使用配置文件运行 kubeadm join 命令添加节点前检查。
kubeadm join phase preflight --config kubeadm-config.yml
选项
--apiserver-advertise-address string |
| 对于将要托管新的控制平面实例的节点,指定 API 服务器将公布的其正在侦听的 IP 地址。如果未设置,则使用默认网络接口。 |
--apiserver-bind-port int32 默认值:6443 |
| 针对将要托管新的控制平面实例的节点,设置 API 服务器要绑定的端口。 |
--certificate-key string |
| 使用此密钥可以解密由 `init` 操作上传的证书 secret。 |
--config string |
| kubeadm 配置文件的路径。 |
--control-plane |
| 在此节点上创建一个新的控制平面实例 |
--cri-socket string |
| 提供给 CRI 套接字建立连接的路径。如果为空,则 kubeadm 将尝试自动检测该值;仅当安装了多个 CRI 或具有非标准 CRI 套接字时,才使用此选项。 |
--discovery-file string |
| 对于基于文件的发现,给出用于加载集群信息的文件或者 URL。 |
--discovery-token string |
| 对于基于令牌的发现,该令牌用于验证从 API 服务器获取的集群信息。 |
--discovery-token-ca-cert-hash stringSlice |
| 对于基于令牌的发现,验证根 CA 公钥是否匹配此哈希值(格式:"<type>:<value>")。 |
--discovery-token-unsafe-skip-ca-verification |
| 对于基于令牌的发现,允许在未关联 --discovery-token-ca-cert-hash 参数的情况下添加节点。 |
-h, --help |
| preflight 操作的帮助命令 |
--ignore-preflight-errors stringSlice |
| 错误将显示为警告的检查列表;例如:'IsPrivilegedUser,Swap'。取值为 'all' 时将忽略检查中的所有错误。 |
--node-name string |
| 指定节点名称。 |
--tls-bootstrap-token string |
| 指定在加入节点时用于临时通过 Kubernetes 控制平面进行身份验证的令牌。 |
--token string |
| 如果未提供这些值,则将它们用于 discovery-token 令牌和 tls-bootstrap 令牌。 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
89 -
概要
尽最大努力还原通过 'kubeadm init' 或者 'kubeadm join' 操作对主机所做的更改
"reset" 命令执行以下阶段:
preflight Run reset pre-flight checks
update-cluster-status Remove this node from the ClusterStatus object.
remove-etcd-member Remove a local etcd member.
cleanup-node Run cleanup node.
kubeadm reset [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的目录路径。如果已指定,则需要清空此目录。 |
--cri-socket string |
| 要连接的 CRI 套接字的路径。如果为空,则 kubeadm 将尝试自动检测此值;仅当安装了多个CRI 或具有非标准 CRI 插槽时,才使用此选项。 |
-f, --force |
| 在不提示确认的情况下重置节点。 |
-h, --help |
| reset 操作的帮助命令 |
--ignore-preflight-errors stringSlice |
| 错误将显示为警告的检查列表;例如:'IsPrivilegedUser,Swap'。取值为 'all' 时将忽略检查中的所有错误。 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置该标志,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--skip-phases stringSlice |
| 要跳过的阶段列表 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
90 -
概要
使用此命令来调用 reset
工作流程的某个阶段
选项
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
91 -
概要
执行 cleanup node(清理节点)操作。
kubeadm reset phase cleanup-node [flags]
选项
--cert-dir string 默认值:"/etc/kubernetes/pki" |
| 存储证书的目录路径。如果已指定,则需要清空此目录。 |
--cri-socket string |
| 要连接的 CRI 套接字的路径。如果为空,则 kubeadm 将尝试自动检测此值;仅当安装了多个CRI 或具有非标准 CRI 插槽时,才使用此选项。 |
-h, --help |
| cleanup-node 操作的帮助命令 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
92 -
概要
kubeadm reset(重置)前运行启动前检查。
kubeadm reset phase preflight [flags]
选项
-f, --force |
| 在不提示确认的情况下重置节点。 |
-h, --help |
| preflight 操作的帮助命令 |
--ignore-preflight-errors stringSlice |
| 错误将显示为警告的检查列表;例如:'IsPrivilegedUser,Swap'。取值为 'all' 时将忽略检查中的所有错误。 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
93 -
概要
上传关于当前状态的配置,以便 'kubeadm upgrade' 以后可以知道如何配置升级后的集群。
kubeadm config upload [flags]
选项
从父命令继承的选项
--kubeconfig string 默认值: "/etc/kubernetes/admin.conf" |
| 用于和集群通信的 KubeConfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 KubeConfig 文件。 |
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
94 -
概要
如果该节点是控制平面节点,从 ClusterStatus 对象中删除该节点。
kubeadm reset phase update-cluster-status [flags]
选项
-h, --help |
| update-cluster-status 操作的帮助命令 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
95 -
概要
此命令管理引导令牌(bootstrap token)。它是可选的,仅适用于高级用例。
简而言之,引导令牌(bootstrap token)用于在客户端和服务器之间建立双向信任。
当客户端(例如,即将加入集群的节点)需要时,可以使用引导令牌相信正在与之通信的服务器。
然后可以使用具有 “签名” 的引导令牌。
引导令牌还可以作为一种允许对 API 服务器进行短期身份验证的方法(令牌用作 API 服务器信任客户端的方式),例如用于执行 TLS 引导程序。
引导令牌准确来说是什么?
- 它是位于 kube-system 命名空间中类型为 “bootstrap.kubernetes.io/token” 的一个 Secret。
- 引导令牌的格式必须为 “[a-z0-9]{6}.[a-z0-9]{16}”,前一部分是公共令牌 ID,而后者是令牌秘钥,必须在任何情况下都保密!
- 必须将 Secret 的名称命名为 “bootstrap-token-(token-id)”。
您可以在此处阅读有关引导令牌(bootstrap token)的更多信息:
/docs/admin/bootstrap-tokens/
kubeadm token [flags]
选项
--dry-run |
| 是否启用 `dry-run` 模式 |
-h, --help |
| token 操作的帮助命令 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置,则搜索一组标准位置以查找现有 kubeconfig 文件。 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
96 -
概要
这个命令将为你创建一个引导令牌。
您可以设置此令牌的用途,"有效时间" 和可选的人性化的描述。
这里的 [token] 是指将要生成的实际令牌。
该令牌应该是一个通过安全机制生成的随机令牌,形式为 "[a-z0-9]{6}.[a-z0-9]{16}"。
如果没有给出 [token],kubeadm 将生成一个随机令牌。
kubeadm token create [token]
选项
--config string |
| kubeadm 配置文件的路径。 |
--description string |
| 针对令牌用途的人性化的描述。 |
--groups stringSlice 默认值:[system:bootstrappers:kubeadm:default-node-token] |
| 此令牌用于身份验证时将进行身份验证的其他组。必须匹配 "\\Asystem:bootstrappers:[a-z0-9:-]{0,255}[a-z0-9]\\z" |
-h, --help |
| create 操作的帮助命令 |
--print-join-command |
| 不仅仅打印令牌,而是打印使用令牌加入集群所需的完整 'kubeadm join' 参数。 |
--ttl duration 默认值:24h0m0s |
| 令牌有效时间,超过该时间令牌被自动删除。(例如: 1s, 2m, 3h)。如果设置为 '0',令牌将永远不过期。 |
--usages stringSlice 默认值:[signing,authentication] |
| 描述可以使用此令牌的方式。你可以多次使用 `--usages` 或者提供一个以逗号分隔的选项列表。合法选项有: [signing,authentication] |
从父命令继承的选项
--dry-run |
| 是否启用 `dry-run` 运行模式 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 KubeConfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 KubeConfig 文件。 |
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
97 -
概要
这个命令将为你删除指定的引导令牌列表。
[token-value]
是要删除的 "[a-z0-9]{6}.[a-z0-9]{16}" 形式的完整令牌或者是 "[a-z0-9]{6}" 形式的的令牌 ID。
kubeadm token delete [token-value] ...
选项
从父命令继承的选项
--dry-run |
| 是否启用 `dry-run` 运行模式 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 KubeConfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 KubeConfig 文件。 |
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
98 -
概要
此命令将打印一个随机生成的可以被 "init" 和 "join" 命令使用的引导令牌。
您不必使用此命令来生成令牌。你可以自己设定,只要格式符合 "[a-z0-9]{6}.[a-z0-9]{16}"。这个命令提供是为了方便生成规定格式的令牌。
您也可以使用 "kubeadm init" 并且不指定令牌,该命令会生成一个令牌并打印出来。
kubeadm token generate [flags]
选项
-h, --help |
| generate 操作的帮助命令 |
从父命令继承的选项
--dry-run |
| 是否启用 `dry-run` 运行模式 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 KubeConfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 KubeConfig 文件。 |
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
99 -
概要
此命令将为您列出所有的引导令牌。
kubeadm token list [flags]
选项
--allow-missing-template-keys 默认值:true |
| 如果设置为 true,则在模板中缺少字段或哈希表的键时忽略模板中的任何错误。
仅适用于 golang 和 jsonpath 输出格式。 |
-o, --experimental-output string 默认值:"text" |
| 输出格式:text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file 其中之一 |
-h, --help |
| list 操作的帮助命令 |
从父命令继承的选项
--dry-run |
| 是否启用 `dry-run` 模式 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
100 -
概要
此命令能将集群平滑升级到新版本
kubeadm upgrade [flags]
选项
-h, --help |
| upgrade 操作的帮助命令 |
继承于父命令的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
101 -
概要
将 Kubernetes 集群升级到指定版本
kubeadm upgrade apply [version]
选项
--allow-experimental-upgrades |
| 显示 Kubernetes 的不稳定版本作为升级替代方案,并允许升级到 Kubernetes 的 alpha/beta 或 RC 版本。 |
--allow-release-candidate-upgrades |
| 显示 Kubernetes 的候选版本作为升级替代方案,并允许升级到 Kubernetes 的 RC 版本。 |
--certificate-renewal Default: true |
| 执行升级期间更改的组件所使用的证书的更新。 |
--config string |
| kubeadm 配置文件的路径。 |
--dry-run |
| 不要更改任何状态,只输出要执行的操作。 |
--etcd-upgrade 默认值: true |
| 执行 etcd 的升级。 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录的路径。
例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。
默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。
"suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 |
--feature-gates string |
| 一组键值对,用于描述各种功能。选项包括: IPv6DualStack=true|false (ALPHA - 默认=false) PublicKeysECDSA=true|false (ALPHA - 默认=false) |
-f, --force |
| 强制升级,但可能无法满足某些要求。这也意味着非交互模式。 |
-h, --help |
| apply 操作的帮助命令 |
--ignore-preflight-errors stringSlice |
| 错误将显示为警告的检查列表;例如:'IsPrivilegedUser,Swap'。取值为 'all' 时将忽略检查中的所有错误。 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置标志,则在相关目录下搜索以查找现有 kubeconfig 文件。 |
--print-config |
| 指定是否应打印将在升级中使用的配置文件。 |
-y, --yes |
| 执行升级,不提示确认(非交互模式)。 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
102 -
概述
显示哪些差异将被应用于现有的静态 pod 资源清单。参考: kubeadm upgrade apply --dry-run
kubeadm upgrade diff [version] [flags]
选项
--api-server-manifest string 默认值:"/etc/kubernetes/manifests/kube-apiserver.yaml" |
| API服务器清单的路径 |
--config string |
| kubeadm 配置文件的路径 |
-c, --context-lines int 默认值:3 |
| 差异中有多少行上下文 |
--controller-manager-manifest string 默认值: "/etc/kubernetes/manifests/kube-controller-manager.yaml" |
| 控制器清单的路径 |
-h, --help |
| 帮助 |
--kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件,如果标志是未设置,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--scheduler-manifest string 默认值:"/etc/kubernetes/manifests/kube-scheduler.yaml" |
| 调度程序清单的路径 |
从父命令继承的选项
--rootfs string |
| [EXPERIMENTAL] “真实”主机根文件系统的路径。 |
103 -
概要
升级集群中某个节点的命令
"node" 命令执行以下阶段:
preflight 执行节点升级前检查
control-plane 如果存在的话,升级部署在该节点上的管理面实例
kubelet-config 更新该节点上的 kubelet 配置
kubeadm upgrade node [flags]
选项
--certificate-renewal |
| 对升级期间变化的组件所使用的证书执行更新。 |
--dry-run |
| 不更改任何状态,只输出将要执行的操作。 |
--etcd-upgrade 默认值: true |
| 执行 etcd 的升级。 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录的路径。
例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。
默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。
"suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 |
-h, --help |
| node 操作的帮助命令 |
--kubeconfig string 默认值: "/etc/kubernetes/admin.conf" |
| 用于与集群交互的 kubeconfig 文件。如果参数未指定,将从一系列标准位置检索存在的 kubeconfig 文件。 |
--kubelet-version string |
| 升级后 *期望的* kubelet 配置版本。如未指定,将使用 kubeadm-config ConfigMap 中的 KubernetesVersion |
--skip-phases stringSlice |
| 要跳过的阶段的列表 |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
104 -
概要
使用此命令调用 node 工作流的某个阶段
选项
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
105 -
概要
升级部署在此节点上的控制平面实例,如果有的话
kubeadm upgrade node phase control-plane [flags]
选项
--certificate-renewal |
| 更新在升级期间变更的组件使用的证书。 |
--dry-run |
| 不改变任何状态,只输出将要执行的动作。 |
--etcd-upgrade 默认值: true |
| 执行 etcd 的升级。 |
--experimental-patches string |
| 包含名为 "target[suffix][+patchtype].extension" 的文件的目录的路径。
例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。
"patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。
默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。
"suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 |
-h, --help |
| control-plane 的帮助信息 |
--kubeconfig string 默认值: "/etc/kubernetes/admin.conf" |
| 用于和集群通信的 KubeConfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 KubeConfig 文件。 |
从父命令继承的选项
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
106 -
从群集中 "kubelet-config-1.X" 的 ConfigMap 下载 kubelet 配置,其中 X 是kubelet 的次要版本。
kubeadm 使用 --kubelet-version 参数来确定所需的 kubelet 版本。
kubeadm upgrade node phase kubelet-config [flags]
选项
--dry-run |
| 不改变任何状态,只输出将要执行的操作 |
-h, --help |
| 配置操作的帮助信息 |
--kubeconfig string 默认值: "/etc/kubernetes/kubelet.conf" |
| 用于和集群通信的 KubeConfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 KubeConfig 文件。 |
--kubelet-version string |
| 升级后的 kubelet 的*期望*版本。 |
从父命令继承的选项
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
107 -
执行 kubeadm 升级节点的预检。
kubeadm upgrade node phase preflight [flags]
选项
-h, --help |
| preflight 操作的帮助命令 |
--ignore-preflight-errors stringSlice |
| 错误将显示为警告的检查清单。示例:'IsPrivilegedUser,Swap'。值为'all'表示忽略所有检查的错误。 |
继承于父命令的选项
--rootfs string |
| [实验] 到'真实'主机根文件系统的路径。 |
108 -
概述
检查可升级到哪些版本,并验证您当前的集群是否可升级。 要跳过互联网检查,请传递可选的 [version] 参数
kubeadm upgrade plan [version] [flags]
选项
--allow-experimental-upgrades |
| 显示不稳定版本的 Kubernetes 作为升级替代方案,并允许升级到 Kubernetes 的 Alpha/Beta/发行候选版本。 |
--allow-release-candidate-upgrades |
| 显示 Kubernetes 的发行候选版本作为升级选择,并允许升级到 Kubernetes 的发行候选版本。 |
--config string |
| 配置文件的路径。 |
--feature-gates string |
| 一组描述各种特征特性门控的键值对。选项有:IPv6DualStack=true|false (ALPHA - default=false) PublicKeysECDSA=true|false (ALPHA - default=false) |
-h, --help |
| 帮助 |
--ignore-preflight-errors stringSlice |
| 检查清单,其错误将显示为警告。 例如:“IsPrivilegedUser,Swap”。 值 “all” 忽略所有检查的错误。 |
--kubeconfig string Default: "/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。 如果标志为未设置,则可以在一组标准位置中搜索现有的 kubeconfig 文件。 |
--print-config |
| 指定是否打印将在升级中使用的配置文件。 |
从父命令继承的选项
--rootfs string |
| [EXPERIMENTAL] “真实”主机根文件系统的路径。 |
109 -
概要
打印 kubeadm 的版本
kubeadm version [flags]
选项
-h, --help |
| version 操作的帮助命令 |
-o, --output string |
| 输出格式;可用的选项有 'yaml', 'json' 和 'short' |
从父命令继承的选项
--rootfs string |
| [实验] 指向 '真实' 宿主机根文件系统的路径。 |
110 -
此目录下的所有文件都是从其他仓库自动生成的。 不要人工编辑它们。 您必须在上游仓库中编辑它们