Kubernetes 使用kubeadm为什么要手动生成证书？_Kubernetes_Kubeadm

Kubernetes 使用kubeadm为什么要手动生成证书？

kubernetes

Kubernetes 使用kubeadm为什么要手动生成证书？,kubernetes,kubeadm,Kubernetes,Kubeadm,我正试着跟着这个自己生成证书而不是依赖kubeadm有什么好处如果您自己创建证书，那么在从kubeadm设置集群之后是否会发生自动旋转谢谢没有大的优势。kubeadm也会这样做：生成自签名证书。唯一的小优势是，您可以在中添加一些自定义值，例如城市、组织等不是真的有一个需要启用的旋转标志--rotate certificates 还有来自masters的证书轮换，kubeadm可以在以下方面提供帮助：如果要重新生成admin.conf文件，也可以使用kubeadm： $ kub

我正试着跟着这个

自己生成证书而不是依赖kubeadm有什么好处

如果您自己创建证书，那么在从kubeadm设置集群之后是否会发生自动旋转

谢谢

没有大的优势。kubeadm也会这样做：生成自签名证书。唯一的小优势是，您可以在中添加一些自定义值，例如城市、组织等

不是真的

有一个需要启用的旋转标志--rotate certificates
还有来自masters的证书轮换，
```
kubeadm
```
可以在以下方面提供帮助：

如果要重新生成

admin.conf

文件，也可以使用

kubeadm

：

$ kubeadm init phase kubeconfig admin \
  --cert-dir /etc/kubernetes/pki \
  --kubeconfig-dir /tmp/.

我自己创建所有证书，原因是

我们使用的kubernetes群集可能不会每年更新，因此我们需要具有更长到期时间的证书。我们的应用程序不支持随机docker重启，我们不接受kubeadm phase命令来重新生成证书并重启docker。因此，我们创建了所有有效期为5年的证书，并将其提供给kubeadm，该证书运行良好。现在，我们不必担心每年的证书到期

No kubeadm不提供证书的自动轮换功能，这就是我们首先需要延长证书到期时间的原因

希望这对您有所帮助。

谢谢您的帮助Rico-随时可以依靠您，先生！回答的第二部分-为主机重新生成证书-“kubeadm alpha..--apiserver cert extra sans=x.x.x.x”这将添加额外的有效IP和/或域名？不客气！您可以同时添加IP和域名。对不起，另一个问题是——如果您使用kubeadm alpha phase certs all——它是否也会处理kubelet证书？我使用该命令生成新证书，它工作了——但是现在kubectl命令都不工作，因为它说它不信任新证书——不确定还有什么需要进一步处理我需要进行更改。将其添加到答案

kubeadm alpha-phase kubeconfig admin--cert dir/etc/kubernetes/pki--kubeconfig dir/tmp/

能否提供生成证书的步骤？

$ kubeadm init phase kubeconfig admin \
  --cert-dir /etc/kubernetes/pki \
  --kubeconfig-dir /tmp/.