K8S集群增加新node - kubeadm 生成 token

最新推荐文章于 2025-04-12 00:43:27 发布
原创 最新推荐文章于 2025-04-12 00:43:27 发布 · 6.3k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#node

本文介绍如何在Kubernetes(K8S)集群中增加新节点,包括生成及使用token,更新CA证书hash值,以及如何给新节点打上角色标签。确保集群的稳定性和扩展性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

K8S集群增加新节点 - kubeadm 生成 token

通过kubeadm初始化后,都会提供node加入的token。

可通过下面命令查看

kubeadm token create --print-join-command
但是默认token的有效期为24小时,当过期之后,该token就不可用了。

生成新的token。

[root@k8s-master ~]# kubeadm token create
iuv3h7.9yhwvfm9f3phpfcl
[root@k8s-master ~]# kubeadm token list
TOKEN                     TTL       EXPIRES                     USAGES                   DESCRIPTION   EXTRA GROUPS
iuv3h7.9yhwvfm9f3phpfcl   23h       2019-05-14T10:26:50+08:00   authentication,signing   <none>        system:bootstrappers:kubeadm:default-node-token
获取ca证书sha256编码hash值
[root@k8s-master ~]# openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'
91ca783858fbe9806560e8253ec47fe734addba3c8ee64ddbeace077a5101aee
这个ca证书是不会变的。可使用默认生成的
kubeadm join 192.168.6.190:6443 --token ty8a90.l4shqmrypvx1xmqz \
    --discovery-token-ca-cert-hash sha256:91ca783858fbe9806560e8253ec47fe734addba3c8ee64ddbeace077a5101aee

可以愉快的添加新node了。

[root@k8s-master ~]# kubectl get node
NAME         STATUS   ROLES    AGE     VERSION
k8s-master   Ready    master   3d18h   v1.14.1
k8s-node1    Ready    node1    3d18h   v1.14.1
k8s-node2    Ready    node2    3d18h   v1.14.1
k8s-node3    Ready    <none>   14s     v1.14.1

再打个角色标签。 完美

[root@k8s-master ~]# kubectl label nodes k8s-node3 node-role.kubernetes.io/node3=
node/k8s-node3 labeled
[root@k8s-master ~]# kubectl get node
NAME         STATUS   ROLES    AGE     VERSION
k8s-master   Ready    master   3d18h   v1.14.1
k8s-node1    Ready    node1    3d18h   v1.14.1
k8s-node2    Ready    node2    3d18h   v1.14.1
k8s-node3    Ready    node3    71s     v1.14.1
k8skubeadm生成Token以及设置过期时间kubeadm删除token
风水道人
08-03 2173
k8skubeadm生成Token以及设置过期时间kubeadm删除token
k8s集群部署---Kubeadm 方式部署集群
L1520134455的博客
12-11 890
官方地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/一、部署前准备:三台服务器,固定IP、关闭防火墙,selinux,同步时间 ,域名解析,关闭swap。192.168.46.130 kube-node1 工作节点 1核2G。192.168.46.131 kube-node2 工作节点 1核2G。主节点CPU核数必须是 ≥2核且内存要求必须≥2G,否则k8s无法启动。
使用kubeadm建立kubernetes集群并部署Polyaxon详细教程
yuguo7336761的博客
07-21 2648
最近两三周我在学习 Docker 容器相关的知识,想要了解 Kubernetes 容器管理平台,并且使用开源的 Polyaxon 框架来管理集群进行机器学习的实验。目前已经部署成功了,这里记录一下部署过程。首先简单总结一下,就是先安装 Docker,再安装 Kubernetes,最后安装 Polyaxon。Kubernetes 的安装方式非常多,详见官方教程。这里我准备使用比较简单的方法,就是使用...
kubeadm搭建
雪花凌落的盛夏
04-13 3312
一、kubeadm创建集群 请参照以前Docker安装。先提前为所有机器安装Docker 1、安装kubadm 一台兼容的 Linux 主机。Kubernetes 项目为基于 Debian 和 Red Hat 的 Linux 发行版以及一些不提供包管理器的发行版提供通用的指令 每台机器 2 GB 或更多的 RAM (如果少于这个数字将会影响你应用的运行内存) 2 CPU 核或更多 集群中的所有机器的网络彼此均能相互连接(公网和内网都可以) 设置防火墙放行规则 节点之中不可以有
kubeadm 搭建 K8s
qq_34285557的博客
04-17 1457
kubeadm 搭建 K8s 本篇主要记录一下 使用 kubeadm 搭建 k8s 详细过程 ,环境使用 VirtualBox 构建的3台虚拟机 1.环境准备 操作系统:Centos7 (CentOS Linux release 7.9.2009) Master 主节点: 1台 虚拟机 Node 计算节点: 2台 虚拟机 K8s version:v1.23.5 (选的较的版本) Docker version:20.10.14 虚拟机创建我就不详细展开了 2.虚拟机网络配置(保证能访问外网)
使用golang脚本基于kubeadm创建token
u012429202的博客
10-19 459
功能只是加了一个token参数用于刷token而已,主要在于学习golang的文本处理,cmd命令执行,这些都是运维在使用go写脚本最先遇到的问题。后面想到功能会再增加,写的很烂,如果有问题或者吐槽,欢迎留言。
kubeadm部署k8s集群
m0_37944592的博客
02-08 1911
一 . 介绍 使用kubeadm部署k8s集群的步骤: 第一步:是在机器上部署容器运行时(docker,containerd等); 第二步:然后部署kubeadm,kubelet,kubectl这三个服务; 第三步:使用kubeadm init 部署master节点; 第四步:使用kubeadm join 加入其他节点。 二 . 节点准备工作: 安装前确认每个节点的MAC和uuid唯一,不冲突 # 查看MAC,确保每个节点的mac唯一 ifconfig-a # 查看pr...
k8s集群增节点重生成token、certificate-key等操作
pop_xiaohao的专栏
09-15 5041
K8S通常执行如下语句进行初始化: kubeadm init --config=kubeadm_config.yml --upload-certs 或者: kubeadm init --config kubeadm.yaml 这两条语句的区别就是 第一条生成带certificate key 用来增加master节点的join操作 后一条就只生成了join work节点的从左。 在 kubeadm 初始话集群成功后会返回join 命令,里面有 token,discovery-token-ca
部署一套单Master的K8s集群kubeadm-V1.21)
05-09
部署单Master的K8s集群kubeadm-V1.21) 在本文中,我们将部署一个单Master的Kubernetes集群K8s),使用kubeadm-V1.21版本。Kubernetes是一款流行的容器编排系统,提供了自动部署、扩展、管理容器的功能。 1. ...
【Kubernetes】云原生小技巧 3 之 kubeadm token 命令
mm1234556的博客
01-08 339
这是一篇关于如何使用 kubeadm token 命令的文章!
kubeadm token 24小时过期,重生成token
刘富国的博客
05-30 3229
1.kubeadm join一个的worker node的时候报错:Unauthorized 这是因为token已经失效了,默认情况下,kubeadm init产生的token的有效期是24个小时。 你可以使用下面的命令来重产生tokenkubeadm token create --print-join-command ...
k8s生成token
进行中
09-15 2994
1、查看token kubeadm token list 2、重生成token kubeadm token create 3、master节点获取ca证书sha256编码hash值 openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //' 4、node加入集群
k8s加入node时,cluster创建时的token已经过期(超过24小时),需要重创建token
weixin_45574151的博客
07-09 627
[root@master ~]# kubeadm token create W0625 12:12:51.816242 94230 validation.go:28] Cannot validate kube-proxy config - no validator is available W0625 12:12:51.816793 94230 validation.go:28] Cannot validate kubelet config - no validator is availab...
(k8s)kubernetes中kubeadm生成token获取
Richardlygo的博客
05-23 652
当你的token忘了或者过期,解决办法如下: 1.先获取token #如果过期可先执行此命令 kubeadm token create #重生成token #列出token kubeadm token list | awk -F" " '{print $1}' |tail -n 1 2.获取CA公钥的哈希值 openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2&gt
K8S从入门到放弃(三)——kubeadm部署
weixin_48485805的博客
09-11 302
一 官网 点击查看部署kubeadm官方文档 二 环境说明 1 软件环境 (优快云创建表格真恶,如果有方便的方法请私信我,感谢) 软件 版本 操作系统 Centos 7.9_64 Docker 19-ce Kubernets 1.21 2 服务器配置 点击查看最小资源配置 CPU 内存 硬盘 4C 4G 20G 3 服务器规划 角色 IP k8s-master 192.168.100.101 k8s-node1 192.168.100.
kubeadm token create --print-join-command到底是干什么的?一共包含哪些部分?
最新发布
长风破浪会有时的博客
04-12 513
命令的核作用是为 Kubernetes 集群生成工作节点加入的凭证和命令,就像为派对制作邀请函和入场指南一样。它通过kubeadm工具创建令牌,组装加入命令,方便的工作节点加入到集群中。在集群扩展、重建、多节点部署等场景中都非常实用。
k8s加入集群之获取token和sha256
ben_na_的博客
12-14 3234
1 获取或生成token 1.1 查看token 命令:kubeadm token list[root@k8s-master /]# kubeadm token list TOKEN TTL EXPIRES USAGES DESCRIPTION EXTRA GROUPS jg2shz.spsj
k8s节点重加入集群
2301_76147576的博客
04-29 632
由于Node节点之前可能加入过集群,或者手动配置了Kubernetes组件,您需要重置Node节点以清理旧的数据和配置。接下来,您需要获取Master节点的CA证书哈希值。这将生成一个用于验证token的CA证书哈希值。确保在节点加入集群时使用正确的哈希值。命令,使用之前生成token和Master节点的IP地址以及CA证书哈希值。因为修改了node节点的主机名,所以删除node节点重加入集群。然后,在Node节点上。
kubeadm生成token获取
热门推荐
但行好事,莫问前程
05-29 1万+
当你的token忘了或者过期,解决办法如下: 1.先获取token #如果过期可先执行此命令 kubeadm token create #重生成token #列出token kubeadm token list | awk -F" " '{print $1}' |tail -n 1 2.获取CA公钥的哈希值 openssl x509 -pubkey -in /etc/kube...
访问backend-k8s-console 显示token无效或者过期
04-03
<think>好的,用户遇到了后台管理控制台中显示token无效或过期的问题,具体是关于backend-k8s-console的Kubernetes认证问题。我需要逐步分析可能的原因并提供解决方案。 首先,用户提到token无效或过期。在Kubernetes中,ServiceAccount的token确实有有效期,默认情况下可能是一年,但具体情况可能因集群配置而异。首先应该检查token是否确实过期。用户可以通过查看Secret的创建时间来判断,使用kubectl describe secret命令。如果已经超过有效期,就需要更token。 其次,用户可能需要重生成token。如果原来的Secret被删除或失效,可以手动创建一个的Secret并关联到对应的ServiceAccount。比如创建一个类型为kubernetes.io/service-account-token的Secret,并添加注解引用ServiceAccount。之后,更kubeconfig文件中的token字段。 另外,权限问题也可能导致认证失败。需要确认ServiceAccount是否有正确的角色绑定。使用kubectl get rolebinding和kubectl get clusterrolebinding来检查,必要时创建或更RoleBinding。 还有可能是Kubernetes API服务器的证书问题。检查master节点的证书是否过期,特别是如果集群证书是自签名的,可能需要更证书。使用openssl命令查看证书有效期,必要时重生成证书并重启API服务。 另外,用户可能使用了错误的kubeconfig文件,或者配置中的token字段有误。验证kubeconfig文件中的context、cluster和user配置是否正确,特别是证书路径和token内容。 最后,建议用户检查相关组件的日志,比如API服务器、controller-manager的日志,使用kubectl logs命令或者直接查看系统日志,以获取更详细的错误信息。 需要提醒用户操作时注意权限,确保有足够的集群管理权限,并且备份重要配置,避免操作失误导致其他问题。如果用户对某些步骤不熟悉,可以参考提供的引用资料中的视频教程或官方文档,比如引用[1]和[3]提到的K8S学习资源,帮助更深入理解集群管理。</think>### 后台管理控制台Token无效/过期的解决方案 #### 1. **检查Token有效期** Kubernetes的ServiceAccount Token默认有效期为1年(取决于集群配置)。若Token过期,需重生成: ```bash # 查看Token关联的Secret信息(替换<secret-name>) kubectl describe secret <secret-name> -n <namespace> ``` 若输出中`Age`显示超过有效期,需更Token[^3]。 #### 2. **重生成Token** **方法一:删除旧Secret自动生成Token** ```bash kubectl delete secret <secret-name> -n <namespace> # 等待K8S自动创建Secret(约1分钟) kubectl get secrets -n <namespace> ``` **方法二:手动创建Token Secret** ```yaml apiVersion: v1 kind: Secret metadata: name: backend-k8s-console-token annotations: kubernetes.io/service-account.name: backend-k8s-console type: kubernetes.io/service-account-token ``` 应用后更kubeconfig文件中的Token字段[^2]。 #### 3. **验证ServiceAccount权限** 确保ServiceAccount有正确的RBAC权限: ```bash # 查看RoleBinding/ClusterRoleBinding kubectl get rolebinding -n <namespace> kubectl get clusterrolebinding # 示例:绑定admin角色(按需调整) kubectl create rolebinding backend-console-rolebinding \ --clusterrole=admin \ --serviceaccount=<namespace>:backend-k8s-console \ --namespace=<namespace> ``` #### 4. **检查API Server证书** 若集群证书过期会导致所有认证失效: ```bash # 检查master节点证书有效期 openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -dates # 若过期需重生成证书(需在master节点操作) kubeadm certs renew apiserver systemctl restart kubelet ``` #### 5. **更kubeconfig配置** 确保kubeconfig中使用的Token与Secret一致: ```yaml # kubeconfig示例片段 users: - name: backend-user user: token: <new-token-from-secret> ``` #### 6. **检查组件日志** 通过日志定位具体错误: ```bash # 查看API Server日志 kubectl logs -n kube-system kube-apiserver-<node-name> # 查看控制台组件日志 kubectl logs -n <namespace> <backend-console-pod-name> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值