默認狀況下, kubeadm 會生成運行一個集羣所需的所有證書。 你能夠經過提供你本身的證書來改變這個行爲策略。web
若是要這樣作, 你必須將證書文件放置在經過 --cert-dir 命令行參數或者配置文件裏的 CertificatesDir 配置項指明的目錄中。默認的值是 /etc/kubernetes/pki。svg
若是在運行 kubeadm init 以前存在給定的證書和私鑰對,則 kubeadm 將不會重寫它們。例如,這意味着您能夠將現有的 CA 複製到 /etc/kubernetes/pki/ca.crt 和 /etc/kubernetes/pki/ca.key 中,而 kubeadm 將使用此 CA 對其他證書進行簽名。命令行
外部 CA 模式
若是隻提供了 ca.crt 文件可是沒有提供 ca.key 文件也是能夠的 (這隻對 CA 根證書可用,其它證書不可用)。 若是全部的其它證書和 kubeconfig 文件已就緒, kubeadm 檢測到知足以上條件就會激活 「外部 CA」 模式。kubeadm 將會在沒有 CA 密鑰文件的狀況下繼續執行。xml
不然, kubeadm 將獨立運行 controller-manager,附加一個 --controllers=csrsigner 的參數,而且指明 CA 證書和密鑰。kubernetes