kubernetes服务端命令，kubeadm子命令总结

80 阅读 0 评论 53 点赞

我是靠谱客的博主瘦瘦小馒头，最近开发中收集的这篇文章主要介绍kubernetes服务端命令，kubeadm子命令总结，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

在这里插入图片描述
常用命令：
1、自动补全kubeadm命令

source <(kubeadm completion bash)

2、查看静态pod的信息，静态pod指的是集群自动创建的pod，不由kubernetes管理

kubeadm config images list

3、初始化集群命令

kubeadm init ...

4、加入集群命令
https://blog.csdn.net/zhanremo3062/article/details/111940815

kubeadm join ...

5、重置集群节点，比如重置node2节点让它不受master节点控制，在node2节点上执行下面命令
https://blog.csdn.net/zhanremo3062/article/details/111940815

kubeadm reset

6、升级集群用到的命令，比如我从1.19升级到1.20
https://blog.csdn.net/zhanremo3062/article/details/117411278

kubeadm upgrade apply v1.20

在这里插入图片描述

Kubeadm join 子命令说明
加入 kubeadm 初始化集群时，我们需要建立双向信任。这分为 discovery（使节点信任 Kubernetes 控制平面）和 TLS bootstrap（使 Kubernetes 控制平
面信任节点）。
有两种主要的发现方案。第一种是使用共享令牌以及 API 服务器的 IP 地址。第二个是提供一个文件-标准 kubeconfig 文件的子集。该文件可以是本地文件，也可以通过 HTTPS URL 下载。形式为 kubeadm join --discovery-token abcdef.1234567890abcdef 1.2.3.4:6443、kubeadm join --discovery-filepath/to/file.conf 或 kubeadm join --discovery-file https://url/file.conf。只能使用一种形式。如果发现信息是从 URL 加载的，则必须使用 HTTPS，并且在这种情况下，将使用主机安装的 CA 捆绑包来验证连接。
如果您使用共享令牌进行发现，则还应传递–discovery-token-ca-cert-hash 标志以验证 Kubernetes 控制平面提供的根证书颁发机构（CA）的公钥。标志被指定为":"，其中支持的哈希类为"sha256"。哈希是根据主题公共密钥信息（SPKI）对象的字节计算的（如 RFC7469 中所述)。此值在"kubeadm init"的输出中可用，也可以使用标准工具进行计算。–discovery-token-ca-cert-hash 标志可以重复多次，以允许多个公共密钥。
如果您无法提前知道 CA 公钥哈希，则可以传递–discovery-token-unsafe-skip-ca-verification 标志以禁用此验证。这会削弱 kubeadm 安全模型，因为其他节点可能会模拟 Kubernetes 控制平面。
TLS 引导机制也通过共享令牌驱动。这用于临时向 Kubernetes Control Plane 进行身份验证，以提交本地创建的密钥对的证书签名请求（CSR）。默认情况下，kubeadm 将设置 Kubernetes 控制平面以自动批准这些签名请求。该令牌与–tls-bootstrap-token abcdef.1234567890abcdef 标志一起传递。
在这里插入图片描述

在这里插入图片描述

Kubeadm token [command]子命令说明
简而言之，引导令牌用于在客户端和服务器之间建立双向信任。当客户端（例如即将加入集群的节点）需要信任与之通信的服务器时，可以使用引导令牌。然
后可以使用带有“签名”用法的引导令牌。引导令牌还可以用作允许对 API 服务器进行短暂身份验证的方式（令牌用作 API 服务器信任客户端的方式），例如用于执
行 TLS 引导程序。
token generate
随机生成并打印引导令牌(bootstrap tokens)，但不要存入 etcd。
范例 1: 随机生成 token，打印到屏幕，不记录 etcd