05-kubeadm join原理

最新推荐文章于 2025-06-13 12:12:08 发布
最新推荐文章于 2025-06-13 12:12:08 发布
阅读量3.1k 收藏 9
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Kubernetes Kubernetes实战高可用集群搭建、配置、运维与应用 文章标签: kubeadm join
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huangjun0210/article/details/86690633
本文深入解析了Kubeadm join命令的工作原理,详细介绍了如何通过master节点IP、端口、token及discovery-token-ca-cert-hash进行Node节点的身份验证和集群加入过程。包括token的生成、验证流程以及证书hash的计算方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kubeadm join原理

join:将node加入集群
kubeadm join 172.28.65.239:6443 --token 40dup1.urffu06eu0u1hzy3 --discovery-token-ca-cert-hash sha256:9536338df40c12f9287a15d4764fb02041b5e5cd2b0700fddeea32cfbab4cd83

1. master节点IP+端口

172.28.65.239:6443

命令第一部分为master节点IP+端口

2. token:用于Master验证Node身份

--token 40dup1.urffu06eu0u1hzy3

主要是在/etc/kubernetes/manifests/kube-apiserver.yaml中的–enable-bootstrap-token-auth=true设置了为true
在这里插入图片描述
token格式由两段组成:token-id.token-serect

  • 查看有前缀的secret对象(token-id)
    kubectl get secret -n kube-system | grep bootstrap
    在这里插入图片描述
    bootstrap-token的后缀与kubeadm join --token 的token-id一致
  • 查看secret对象的具体内容
    kubectl get secret/bootstrap-token-40dup1 -n kube-system -o yaml
    token-secret是一个base64编码的字符串,解码
    echo dXJmZnUwNmV1MHUxaHp5Mw== | base64 -d
    在这里插入图片描述
    解码后的内容与kubeadm join --token 的token-serect一致

3. discovery-token-ca-cert-hash : 用于Node验证Master身份

根据CA的公钥证书数据来计算出hash值
openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -pubkey | openssl rsa -pubin -outform DER 2>/dev/null | sha256sum | cut -d' ' -f1
在这里插入图片描述
这里的计算结果,跟join加入的discovery-token-ca-cert-hash后面接的结果是一样的,一致就可以说加入正确

Kubernetes Kubeadm init 与 join 原理分析
专注基础架构领域
12-06 1011
kubeadm是社区维护的Kubernetes集群一键部署利器,使用两条命令即可完成k8s集群中master节点以及node节点的部署,其底层原理是利用了k8s TLS bootstrap特性。 1、k8s master节点部署 此外,我们也可以自己编写yaml文件来自定义kubeadm的启动过程和一些组件的启动参数等等 2、​ k8s node节点部署(将一个node节点加入到已有集群当中) 此外,我们也可以自己编写yaml文件来自
k8s系列02-kubeadm部署flannel网络的k8s集群
tinychen
05-24 2665
本文主要在centos7系统上基于docker和flannel组件部署v1.23.6版本的k8s原生集群,由于集群主要用于自己平时学习和测试使用,加上资源有限,暂不涉及高可用部署。 此前写的一些关于k8s基础知识和集群搭建的一些方案,有需要的同学可以看一下。 1、准备工作 1.1 flannel-集群节点信息 机器均为8C8G的虚拟机,硬盘为100G。 IP Hostname 10.31.8.1 tiny-flannel-master-8-1.k8s.tcinternal 10.31.8
kubeadm工作原理-kubeadm init原理分析-kubeadm join原理分析
良凯尔的博客
03-27 4890
kubeadm工作原理-kubeadm init原理分析-kubeadm join原理分析。kubeadm是社区维护的Kubernetes集群一键部署利器,使用两条命令即可完成k8s集群中master节点以及node节点的部署,其底层原理是利用了k8s TLS bootstrap特性。
k8s-kubeadmkubeadm init/join
qq_34482492的博客
02-20 419
创建集群时,kubeadm init/join的作用。
使用kubeadm join时卡住
wwwace的博客
06-13 219
的有效期是 24 小时,如果过期,Join 会卡住或失败。
K8S 源码探秘 之 kubeadm join 执行流程分析
shida's blog
10-22 3366
一、引言        本文将基于 Kubernetes 1.12 版本,分析 kubeadm  join 的执行流程,希望对读者理解 k8s 有帮助!        关于 init 流程请参考前文: K8S 源码探秘 之 kubeadm init 执行流程分析 二、流程介绍 2.1  首先,上一张整体执行流程图(可以点击看大图!!!):         kubeadm 在执行 jo...
K8S 源码探秘 之 kubeadm join 执行流程分析_kubernetes node join流程
2401_83944328的博客
04-13 970
6.2) 检查 /proc/sys/net/bridge/bridge-nf-call-iptables、/proc/sys/net/ipv4/ip-forward 内容是否为 1;6.1) 检查以下命令是否存在:crictl、ip、iptables、mount、nsenter、ebtables、ethtool、socat、tc、touch;5) 检查容器运行时,使用 CRI 还是 Docker,如果是 Docker,进一步检查 Docker 服务是否已启动,是否设置了开机自启动;
kubeadm join-集群中加入新的master与worker节点
热门推荐
会哭的雨@的博客
03-09 1万+
kubeadm 初始话集群成功后会返回 join 命令, 里面有 token,discovery-token-ca-cert-hash等参数, 但ta们是有过期时间的. token 的过期时间是24小时, certificate-key 过期时间是2小时. $ kubeadm token list TOKEN TTL EXPIRES USAGES DESCRIPTION
k8s-51cto-kubeadm部署k8s1.13.0-笔记总结
06-28
sudo kubeadm join <master-ip>:6443 --token <token> --discovery-token-ca-cert-hash ``` 这将使工作节点加入集群。 **七、验证部署** 部署完成后,使用`kubectl get nodes`命令检查所有节点是否处于Ready状态。...
Kubernetes官方集群部署工具kubeadm原理解析
Docker的专栏
03-30 8633
根据所处环境的不同,Kubernetes集群的安装部署有多种不同的方式。如果是在公有云上还好,一般都会提供相应的安装方案。如果是自行搭建私有环境,可选的安装方案则不尽相同,有时可能需要从零一步步开始,这个过程很容易出错,这往往使人感觉耗时耗力,望而却步。kubeadm作为Kubernetes官方提供的集群部署管理工具,采用“一键式”指令进行集群的快速初始化和安装,极大地简化了部署过程,消除了集群安
【Kubernetes】云原生小技巧 31 之 kubeadm join 命令
mm1234556的博客
02-27 391
这是一篇关于如何使用 kubeadm token 命令的文章!
Kubernetes部署利器kubeadm,kubeadm的安装、init和join的流程说明
01-11
k8s 部署利器kubeadm kubeadm的安装、init和join的流程说明
kubeadm join和init源码阅读笔记
cser的博客
03-29 483
kubeadm的代码是放在kubernetes/kubernetes下面,github上那个kubernetes/kubeadm不是kubeadm的代码仓库。k8s版本v1.23。
k8s集群搭建(kubeadm)
陈旭猿的博客
03-02 524
kubeadm 是官方社区推出的一个用于快速部署 kubernetes 集群的工具,这个工具能通过两条指令完成一个 kubernetes 集群的部署: 创建一个Master节点 kubeadm init 将Node节点加入到当前集群中 $ kubeadm join <Master 节点的IP和端口> 环境准备: 服务器三台(虚拟机,192.168.228.10/11/12,2C/2G,centos7.5) 系统配置: 关闭防火墙 # 临时关闭防火墙 systemct...
k8s(Kubernetes)集群部署--使用 kubeadm方式部署
AMCUL的博客
09-12 623
使用 kubeadm方式部署k8s集群
【博客437】kubeadm join原理
qq_43684922的博客
07-31 1831
kubeadmjoin的结果是完成一个k8smaster节点或node节点加入一个已有的k8s集群。3、检查etcd是否健康。4、启动kubelet。
Kubernetes ---- kubeadmin join添加至集群失败
K-free的博客
06-09 1389
添加至K8S集群过程中出现异常:   error execution phase preflight: couldn't validate the identity of the API Server: abort connecting to API servers after timeout of 5m0s! 解决方法:   此报错是因为master节点上的token过期了,需要重新生...
kubeadm join卡住问题,100%有效果
小鹏linux的博客
12-13 506
最近部署k8s集群时候遇到了以一个kubeadm join卡住问题的问题,总结一下分享出来。
kubernetes 集群搭建(kubeadm 方式)
我的博客
08-01 1102
kubeadm 是官方社区推出的一个用于快速部署 kubernetes 集群的工具, 这个工具能通过两条指令完成一个 kubernetes 集群的部署: 第一、 创建一个 Master 节点 kubeadm init 第二, 将 Node 节点加入到当前集群中: kubeadm join
[root@master ~]# kubeadm token create --print-join-command timed out waiting for the condition To see the stack trace of this error execute with --v=5 or higher
最新发布
06-17
<think>我们正在解决kubeadmtokencreate--print-join-command命令超时的问题。在Kubernetes集群中,这个命令用于生成加入新节点所需的命令,但有时可能会遇到超时情况。超时可能由多种原因引起,比如网络问题、API服务器不可达、证书问题等。根据引用[1]中的信息,我们有一个kubeadmjoin命令的示例,其中包含了token和discovery-token-ca-cert-hash。这说明token的创建是节点加入的关键步骤。如果创建token时超时,我们需要检查以下几个方面:1.**网络连接**:确保控制平面节点(运行kubeadm命令的节点)能够访问KubernetesAPI服务器(apiserver.demo:6443)。可以尝试使用curl或telnet检查连接。2.**API服务器状态**:检查API服务器是否正常运行。可以使用`kubectlgetnodes`或`systemctlstatuskubelet`来检查控制平面节点的状态。3.**证书问题**:如果证书过期或配置错误,可能导致连接超时。检查证书的有效期,特别是`/etc/kubernetes/pki`目录下的证书。4.**kubelet状态**:在控制平面节点上,确保kubelet服务是活跃的(运行`systemctlstatuskubelet`)。5.**防火墙设置**:检查防火墙是否允许6443端口的通信。此外,引用[3]提到了查看kubeadm、kubelet等组件的版本,这也提示我们版本不一致可能会导致问题。因此,需要确保所有节点的kubeadm、kubelet和kubectl版本一致。**解决方案步骤:**1.**检查API服务器可达性**:在控制平面节点上执行:```bashcurl-khttps://apiserver.demo:6443```注意:这里使用`-k`忽略证书验证。如果返回"Unauthorized",说明API服务器可达;如果连接超时,则需要检查网络和API服务器状态。2.**检查证书有效期**:```bashopensslx509-in/etc/kubernetes/pki/apiserver.crt-noout-text|grepNot```检查证书的有效期,如果过期需要重新生成证书(使用`kubeadminitphasecertsrenew`)。3.**检查kubelet日志**:```bashjournalctl-ukubelet-n100--no-pager```查看是否有错误日志。4.**如果证书没有问题,尝试手动创建token**:默认情况下,token的有效期是24小时。如果当前没有有效的token,可以手动创建:```bashkubeadmtokencreate--print-join-command```如果这个命令超时,可以尝试指定更长的超时时间(kubeadm没有直接提供超时参数,但可以通过环境变量设置):```bashexportKUBECONFIG=/etc/kubernetes/admin.confkubeadmtokencreate--print-join-command```5.**如果以上步骤无效,考虑重新初始化集群**(作为最后的手段):备份配置和数据,然后使用`kubeadmreset`重置节点,再重新初始化。**注意事项**:-确保执行命令的节点具有管理员权限(即拥有/etc/kubernetes/admin.conf文件)。-如果集群使用高可用,确保负载均衡器工作正常。如果问题仍然存在,请提供具体的错误信息以便进一步排查。§§相关问题§§1.如何检查KubernetesAPI服务器的健康状况?2.Kubernetes集群中证书过期后如何更新?3.kubeadmtokencreate命令的工作原理是什么?4.在Kubernetes集群中添加新节点时,除了token还需要哪些条件?5.kubeadmreset命令的作用是什么?使用时需要注意什么?</think>### 解决 kubeadm token create --print-join-command 超时问题 在 Kubernetes 集群中执行 `kubeadm token create --print-join-command` 超时通常由以下原因导致,以下是系统性解决方案: --- #### **1. 检查 API Server 可达性** - **问题**:控制平面无法访问 API Server - **验证方法**: ```bash curl -k https://<API-Server-IP>:6443/healthz # 示例(替换实际 IP): curl -k https://10.0.0.1:6443/healthz ``` - **预期结果**:返回 `ok` - **解决方案**: - 确保防火墙开放 6443 端口:`sudo ufw allow 6443` - 检查 `/etc/hosts` 是否包含 API Server 的域名解析(如 `apiserver.demo`)[^1] --- #### **2. 证书问题修复** - **问题**:证书过期或配置错误 - **检查步骤**: ```bash # 检查证书有效期 openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -dates # 查看 kubelet 日志 journalctl -u kubelet | grep -i x509 ``` - **解决方案**: - **证书过期**:续签证书 ```bash kubeadm certs renew all # 仅限控制平面节点 systemctl restart kubelet ``` - **证书配置错误**:重新初始化 ```bash kubeadm init phase certs all --config /etc/kubernetes/kubeadm-config.yaml ``` --- #### **3. 调整超时参数** - **问题**:默认 30 秒超时不足 - **解决方案**:延长超时时间 ```bash kubeadm token create --print-join-command --timeout 5m ``` --- #### **4. 检查 kubelet 状态** - **问题**:kubelet 未正常运行 - **验证方法**: ```bash systemctl status kubelet # 检查 Active 状态 journalctl -u kubelet -n 100 # 查看最近日志 ``` - **解决方案**: - 重启 kubelet:`sudo systemctl restart kubelet` - 确保 kubelet 版本与集群匹配(参考引用[3])[^3]: ```bash yum list kubelet.x86_64 --showduplicates | sort -r # 查看可用版本 ``` --- #### **5. 更新集群配置** - **问题**:集群配置过期 - **解决方案**: ```bash # 备份配置 cp /etc/kubernetes/admin.conf $HOME/.kube/config # 更新配置 kubeadm init phase upload-config all ``` --- #### **6. 手动生成 Join 命令** 若仍超时,可手动组合命令: 1. **生成 Token**: ```bash TOKEN=$(kubeadm token generate) kubeadm token create $TOKEN --ttl 2h --print-join-command ``` 2. **获取 CA 证书 Hash**: ```bash openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt \ | openssl rsa -pubin -outform der 2>/dev/null \ | openssl dgst -sha256 -hex \ | sed 's/^.* //' ``` 3. **拼接命令**: ```bash echo "kubeadm join <API-Server-IP>:6443 --token $TOKEN --discovery-token-ca-cert-hash sha256:<your-hash>" ``` --- ### 关键验证点 ```bash kubectl get nodes # 检查节点状态 kubectl get cs # 验证组件健康 netstat -tuln | grep 6443 # 确认端口监听 ``` > **注意**:操作需在 **控制平面节点** 执行,并使用 `root` 或 `sudo` 权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

逍遥俊子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值