K8s Token 过期解决方案(Kubeadm)

原创 已于 2023-10-05 11:19:50 修改 · 5.3k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器

于 2023-02-08 11:15:17 首次发布
文章介绍了在Kubernetes(K8s)集群中,如何创建和管理Token,包括生成短期和长期有效的Token,以及如何删除Token。同时,详细阐述了获取CA证书Hash值的步骤,并展示了Node节点加入K8s集群的具体命令。安全考虑,默认Token有效期为24小时,但也可生成永久Token,不过不推荐。

yys

文章目录

一、背景

Token 是 Node 节点用来连接 Master 节点的令牌字串,它和 CA 证书的 Hash 值是把一台 Node 节点加入到 K8s 集群时使用的凭证。如下图所示:

image-20230208103619560

在 K8s 1.8 之后,默认生成的 Token 有效期只有 24 小时,过期后 Token 将不可用,如果想新的 Node 节点加入 K8s 集群,则需重新生成新的 Token。生产环境中我们一般都会采用默认的有效期即可(目的是为了 K8s 集群的安全),当然你也可以生成永久有效的 Token(但不建议)。

二、创建 Token

1、生成默认 24 小时 Token

kubeadm token create

image-20230208105402484

2、生成永久有效 Token

kubeadm token create --ttl 0

三、管理 Token

1、查看 Token

kubeadm token list

# 可看到有效期为23h

image-20230208105626390

2、删除 Token

kubeadm token delete <Token值>
kubeadm token delete lu8i0r.pzvgyu40c8g73yc1

四、获取 CA 证书 Hash 值

openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'

image-20230208105326827

五、Node 节点加入 K8s 集群

kubeadm join 172.27.0.13:6443 --token lu8i0r.pzvgyu40c8g73yc1 --discovery-token-ca-cert-hash sha256:3ed701329742f7549f73cb065a8677abe8b5b8a3e25bbca7bb26f317ffcf89d4

也可以直接生成 Node 加入 K8s 集群的完整命令:

kubeadm token create --print-join-command

# 这样就很方便了,就不需要单独获取ca证书的hash值了

image-20230208110136289

K8S集群Token过期处理方法以及Kubectl命令无法使用的问题解决
江晓龙的博客
07-15 2820
使用Kubeadm方式部署的K8S集群,在初始化的时候生成的Token的有效期为1天,当过期之后Token就无法使用了,也就意味着,在Node节点执行。Node节点加入集群时不光要指定Token值还需要指定CA证书的HASH值,HASH值是永不过期的。命令加入K8S集群时就会失败,可以通过下面的方法重新生成Token。不管是Node节点还是Master节点部署完成后,都是无法使用。命令时会报错权限的问题,需要手动进行配置。...
【云原生】kubeadm搭建企业级K8S高可用集群保姆级攻略
景天科技苑
01-04 2338
我们都知道,k8s中有三位大哥:kubelet, kubeadm, kubectl 其中: kubelet是服务,用来调用下层的container管理器,从而对底层容器进行管理。 kubectl是API,供我们调用,键入命令对k8s资源进行管理。 kubeadm是管理器,我们可以使用它进行k8s节点的管理。 今天,我们就基于kubeadm来详细讲讲怎么部署高可用K8S集群
k8s token过期问题
liuyuinsdu的专栏
12-06 737
[root@node1 ~]# kubeadm join 192.168.254.100:6443 --token 7r3l16.5yzfksso5ty2zzie --discovery-token-ca-cert-hash sha256:56281a8be264fa334bb98cac5206aa190527a03180c9f397c253ece41d997e8a W0604 10:35:39.924306 13660 join.go:346] [preflight] WARNING: J.
k8s证书过期处理
qq_35573061的博客
09-14 3570
证书一共分为根CA(ca.crt)master各组件的证书(包括etcd、apiserver、front-proxy、controller-manager等各种)kubelet证书其中,根CA和master各组件证书默认已经改成了100年,kubelet证书改成了10年且有自动轮换在一些用老包部署的环境里,可能出现证书过期问题,需要按如下操作解决证书问题。
Kubernetes节点与令牌管理
最新发布
蓝鲸鱼计算机软件开发工作室
10-01 458
本文探讨了Kubernetes中节点和令牌的管理。文章首先介绍了节点的概念,包括节点类型、生命周期和状态等。接着,文章详细阐述了Kubernetes中的令牌管理机制,包括令牌的创建、分发、回收以及与节点的关系等。最后,文章提出了一些优化令牌管理的建议,以减少节点间的通信开销和提高系统的可扩展性。
k8s加入集群之获取token和sha256
ben_na_的博客
12-14 3323
1 获取或生成token 1.1 查看token 命令:kubeadm token list[root@k8s-master /]# kubeadm token list TOKEN TTL EXPIRES USAGES DESCRIPTION EXTRA GROUPS jg2shz.spsj
K8S 学习笔记四 token过期处理 dashboard部署 deployment
BogerPeng的博客
07-06 2348
K8S 学习笔记四 token过期处理 dashboard部署 deployment 笔记记录尚硅谷老师的视频课 地址:https://www.bilibili.com/video/BV13Q4y1C7hS?p=39&vd_source=468c9dc64fa1f1c115ccfcff4b316262
解决K8S Token过期的问题
运维@小兵的博客
09-16 3014
由于我是用kubeadm搭建的K8s集群,kubeadm创建的Token的默认有效期为24小时,因此24小时后会失效,导致kubectl命令不能使用 一、解决办法 1.1创建永久token kubeadm token create --ttl 0 kubeadm token list 1.2.过一会Kubectl命令就可以用了,其中原理未知 ...
Kubernetes 忘记token解决方案
专注基础架构领域
07-29 5113
平常工作中我们可能会忘记加入 k8s 集群所需要的token,这个时候我们两种解决方案。 1、永久token生成 通过生成永久token来保证它不会过期,不安全不推荐 $ kubeadm token create --ttl 0 2、临时token生成 个人推荐这种生成一个临时token的方式,可以保证集群安全性 $ kubeadm token create 我们...
kubeadm快速部署k8s集群
Sunny_Future的博客
07-05 878
kubeadm从0搭建部署一套k8s集群,并创建3个pod; Kubernetes,简称k8s容器编排引擎,以API编程的方式管理安排各个容器的引擎。
k8s集群应用】kubeadm1.20高可用部署(3master)
Karoku的博客
12-20 1480
使用这个 key 和之前生成的 token,可以执行类似于以下的命令来加入新的 master 节点。进行重新生成Token,再次加入集群,新生成的Token为 2小时。默认k8s的使用端口的范围为30000左右,作为对外部提供的端口。我们也可以通过对配置文件的修改去指定默认的对外端口的范围。命令可以生成 Kubeadm 的默认初始化配置文件,并将其重定向到指定文件路径,例如。当您需要将新的 master 节点加入到集群中时,需要获取。参数,并将其设置为所需的端口范围。替换为实际的节点名称。
kubeadm 生成的k8s集群token过期后,集群增加或删除节点-详细文档
06-21
kubeadm 生成的k8s集群token过期后,集群增加或删除节点—详细文档
k8stoken过期
XXisCC的博客
08-06 935
通常,k8s的一个token的有效期是24h,超过这个时间后如果还有node节点需要加入集群,就要重新生成token
k8s集群token过期重新生成
zhou_zhao_xu的博客
06-17 2152
文章目录 默认情况下,token会在24小时后过期。如果要在令牌过期后重新向集群中添加新的节点,则需要重新生成token,并获取ca证书sha256编码hash值 # 重新生成token kubeadm token create kk0ee6.nhvz5p85avmzyof3 # 获取ca证书sha256编码hash值 openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/de
kubeadm 生成的token过期后,集群增加或删除节点-详细
qq_34953582的博客
06-19 353
kubeadm 生成的token过期后,集群增加或删除节点-
Kubernetes加入集群的TOKEN过期
hunheidaode的博客
06-29 650
Kubernetes集群的master节点init完成后,会输出join命令,以便用户用来将其他节点加入,如下 COPYkubeadm join 192.168.1.11:6443 --token abcdef.0123456789abcdef \ --discovery-token-ca-cert-hash sha256:063cf8ade66033addf58f5d1a453aab0b1ec5ff023327bc10156935875baa7ad 而如上命令的token值的有效期只
kubeadm搭建
雪花凌落的盛夏
04-13 3328
一、kubeadm创建集群 请参照以前Docker安装。先提前为所有机器安装Docker 1、安装kubadm 一台兼容的 Linux 主机。Kubernetes 项目为基于 Debian 和 Red Hat 的 Linux 发行版以及一些不提供包管理器的发行版提供通用的指令 每台机器 2 GB 或更多的 RAM (如果少于这个数字将会影响你应用的运行内存) 2 CPU 核或更多 集群中的所有机器的网络彼此均能相互连接(公网和内网都可以) 设置防火墙放行规则 节点之中不可以有
k8skubeadm生成Token以及设置过期时间kubeadm删除token
风水道人
08-03 2278
k8skubeadm生成Token以及设置过期时间kubeadm删除token
token 过期刷新令牌_token过期怎么办
热门推荐
weixin_29109553的博客
12-24 1万+
大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答。token过期的解决方法是:token过期代表证书等过期的意思。需要重新获取code,然后得到access_token,即要重新调用授权界面,需要用refreshtoken刷新accesstoken,如果刷新取到了新的accesstoken、refreshtoken、expirein,需要用这些新的去替换掉关联表中的数据,建议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云计算-Security

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值