k8s集群新增节点重新生成token、certificate-key等操作

最新推荐文章于 2025-04-12 00:43:27 发布
最新推荐文章于 2025-04-12 00:43:27 发布
阅读量5k 收藏 13
点赞数 2
分类专栏: k8s-云原生 文章标签: 云原生 容器 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pop_xiaohao/article/details/120309305
版权
本文介绍了在Kubernetes(K8S)集群中如何新增节点,包括检查和使用现有token、discovery-token-ca-cert-hash,以及在需要时如何重新生成token和certificate-key。在Master节点上执行kubeadm命令来管理和更新这些关键参数,确保新加入的Worker节点能正确连接到集群。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

K8S通常执行如下语句进行初始化:

kubeadm init --config=kubeadm_config.yml   --upload-certs   
或者:
kubeadm init --config kubeadm.yaml  
这两条语句的区别就是 第一条生成带certificate key 用来增加master节点的join操作 
后一条就只生成了join work节点的从左。

在 kubeadm 初始话集群成功后会返回join 命令,里面有 token,discovery-token-ca-cert-hash等参数,都需要记下来。

token 和discovery-token-ca-cert-hash 可以通过以下指令查询“

  • 在master节点执行kubeadm token list获取token(注意查看是否过期)
kubeadm token list
TOKEN                     TTL         EXPIRES                     USAGES                   DESCRIPTION                                                EXTRA GROUPS
47gqgy.6s6ixpaji7uvyexs   23h         2021-09-16T15:19:24+08:00   authentication,signing   <none>                                                     system:bootstrappers:kubeadm:default-node-token
abcdef.0123456789
最低0.47元/天 解锁文章
K8s(二):集群部署----->超详细
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
12-12 4万+
🔴 K8s(二):集群部署----->超详细
k8s 常用指令整理
ふりこ细工の心
01-18 395
k8s 常用指令整理 1、集群初始化 kubeadm init \ --kubernetes-version=v1.18.0 \ --pod-network-cidr=10.244.0.0/16 \ --service-cidr=10.1.0.0/16 \ --control-plane-endpoint=192.168.76.19:8443 \ --image-repository=registry.aliyuncs.com/google_containers \ --upload-certs 2、添加
k8s 新增节点及重置节点
weixin_41436885的博客
12-07 1028
获取tokentoken证书获取control-plane证书在新的master节点执行命令方法一:获取master的join token kubeadm token create --print-join-command --ttl=0 (–ttl=0代表token永不过期,不加此参数默认24小时过期) 执行完成后,会自动生成以下命令在node节点操作:我是之前的一个主节点加入过集群再次加入会出现这个问题,注 错误样例根据关键信息 “error execution phase check-etcd” 可
k8s重新生成token
qq_15138049的博客
05-20 1073
################################# [root@hadoop03 kubernetes]# kubeadm token list TOKEN TTL EXPIRES USAGES DESCRIPTION EXTRA GROUPS eqhj1s.j6tb2bfenl
kubeadm token create --print-join-command到底是干什么的?一共包含哪些部分?
最新发布
长风破浪会有时的博客
04-12 456
命令的核心作用是为 Kubernetes 集群生成工作节点加入的凭证和命令,就像为派对制作邀请函和入场指南一样。它通过kubeadm工具创建令牌,组装加入命令,方便新的工作节点加入到集群中。在集群扩展、重建、多节点部署等场景中都非常实用。
k8stoken失效与重新创建token
weixin_40997505的博客
02-03 810
k8stoken失效与重新创建token
Kubernetes(k8s 1.23.17) 基于docker 一主两从集群环境搭建
kangaroo的博客
04-20 2951
结合网上资料,利用k8s最后直接支持docker的版本1.23.17搭建,并本地验证完成。若需要安装单机版,只执行master节点的步骤,最后放开master调度即可。
k8s操作指令
ふりこ细工の心
08-12 419
集群初始化 kubeadm init \ --kubernetes-version=v1.18.0 \ --pod-network-cidr=10.244.0.0/16 \ --service-cidr=10.1.0.0/16 \ --control-plane-endpoint=192.168.76.19:8443 \ --image-repository=registry.aliyuncs.com/google_containers \ --upload-certs 添加master节点 kubead
k8s集群master节点的删除和重新加入
weixin_45432833的博客
01-21 2462
master节点故障后解决修复
7、k8s集群master和node添加
贾文超的博客
02-01 1531
k8s集群重新添加node节点或master节点
k8s admin 用户生成token
村长在路上
03-15 943
部署进k8s kubectl apply -f admin-namespce.yaml。
『高效管理Kubernetes节点』解析K8S集群Token查询与重新生成的方式
老陈聊架构
01-16 3020
K8S节点加入集群Token查询及重新生成
kubeadm常用命令
wzj_110的博客
01-17 1331
kubeadm token 命令。config view 查看。
nginx中配置的ssl_certificate_key和ssl_certificate是什么,是如何发挥作用的
lonelyhiker
04-03 5561
当客户端与服务器建立连接时,Nginx会使用指定的证书和私钥来进行SSL/TLS握手过程。客户端会验证服务器提供的证书,并使用服务器的公钥加密会话密钥,以确保通信的机密性和完整性。SSL证书文件包含用于验证服务器身份的公钥以及相关信息,如服务器的域名和证书颁发机构(CA)的签名。: 这个指令用于指定SSL证书的私钥文件的路径。私钥文件通常包含与SSL证书配对的私钥,用于加密和解密通信中的数据。私钥是SSL/TLS加密的关键组成部分,它用于生成加密的会话密钥和对数据进行解密。
06.kubeadm 命令使用指南03-certs
Anwen的博客
04-01 259
用户主节点加入集群使用的–certificate-key值。用于获取CA 以及kubeadm 生成的所有证书状态。
[云原生k8s] k8s的CA证书创建和使用
qq_57377057的博客
11-01 3513
目前生产部署Kubernetes集群主要有两种方式:(1)kubeadmKubeadm 是一个 K8s 部署工具,提供 kubeadm init 和 kubeadm join,用于快速部 署 Kubernetes 集群。官方地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/(2)二进制包从 github 下载发行版的二进制包,手动部署每个组件,组成 Kubernetes 集群
Kubernetes kubeadm 证书到期,更新证书
大漠知秋的加油站
08-27 9272
Kubernetes kubeadm 证书到期,更新证书 版本 服务 版本 CentOS 7.8 Kubernetes 1.18.x 证书问题   可能很多人在一开始学习 k8s 的时候,没有注意过证书的问题,在使用 kubeadm 安装 k8s 单机/集群的过程中就是一路往下,如果是学习或者测试使用,使用完毕之后就把虚拟机或者临时云服务器删除了,那也不会发现证书问题。如果这个 k8s 环境要使用 1 年以上,就会碰到这个问题,因为默认证书有效期为 1 年,CA 根证书是 10 年:
kubeadm搭建集群(centos)
2301_77638751的博客
08-26 148
swap分区指的是虚拟内存分区,它的作用是在物理内存使用完之后,将磁盘空间虚拟成内存来使用 启用swap设备会对系统的性能产生非常负面的影响,因此kubernetes要求每个节点都要禁用swap设备 但是如果因为某些原因确实不能关闭swap分区,就需要在集群安装过程中通过明确的参数进行配置说明。--apiserver-cert-extra-sans:用于访问apiserver的域名/ip,签进证书方便外部访问apiserver。--image-repository:镜像仓库设置(不可访问外网就指定阿里云)
如何部署高可用 k8s 集群
03-10
<think>嗯,用户想了解如何部署高可用Kubernetes集群。首先,我需要回忆一下高可用Kubernetes的关键点。高可用性通常涉及多个控制平面节点,确保即使一个节点故障,集群仍能正常运行。用户可能在生产环境中使用,所以可靠性和冗余很重要。 首先,应该考虑集群架构。传统的Kubernetes高可用架构需要至少三个控制平面节点,分布在不同的物理服务器或云实例上。这样可以利用etcd的分布式特性,确保数据一致性和容错。另外,负载均衡器也是关键,用于将流量分发到各个控制平面节点的API Server。用户可能对负载均衡器的选择有疑问,比如是用云服务商的LB还是自建(如HAProxy、Keepalived)。 接下来是etcd集群的部署。etcd作为Kubernetes的后端存储,必须高可用。通常有三种部署方式:堆叠式(Stacked)和外部式(External)。堆叠式是将etcd与控制平面节点部署在一起,而外部式则是独立部署etcd集群。用户可能需要了解这两种方式的优缺点,比如堆叠式简化部署,但外部式可能更稳定。 然后是Kubernetes组件的配置。比如kube-apiserver需要配置为连接负载均衡器的地址,而不是单个节点。kube-controller-manager和kube-scheduler需要启用leader选举,确保只有一个实例处于活动状态。用户可能对如何配置这些组件的参数不太清楚,需要具体步骤。 安装工具的选择也很重要。用户可能习惯使用kubeadm,或者其它工具如kops、Rancher等。这里可能需要以kubeadm为例,因为它是官方工具,适合大多数用户。但要注意不同Kubernetes版本的差异,比如1.25之后的一些变化。 网络插件方面,用户需要选择支持高可用的CNI插件,如Calico、Flannel、Cilium等。此外,Pod和Service的网络规划也需要考虑,避免IP冲突,并确保网络策略符合需求。 存储方面,高可用集群需要可靠的存储解决方案,如Ceph、Longhorn或云存储。用户可能需要持久卷的动态供应,这需要StorageClass的配置。 节点的高可用也不容忽视,工作节点需要足够数量,并分布在不同的故障域。同时,部署应用时使用Deployment、StatefulSet,并配置Pod反亲和性,避免单点故障。 证书和安全性也是重点。控制平面组件使用TLS通信,证书需要有效且定期更新。可能涉及使用cfssl或cert-manager来管理证书。 监控和日志系统,如Prometheus、Grafana、EFK,帮助及时发现问题。用户可能不了解如何集成这些工具,需要简要说明。 最后,备份和灾难恢复计划。定期备份etcd数据,并测试恢复流程,确保在灾难时能快速恢复。 用户可能还关心具体的操作步骤,比如使用kubeadm初始化集群,添加控制平面节点,配置负载均衡器等。需要分步骤说明,确保清晰易懂。同时,注意版本兼容性和系统要求,如禁用swap、正确配置防火墙等。 可能遇到的常见问题包括etcd节点间通信问题、证书配置错误、负载均衡器配置不当导致API Server不可用。需要提醒用户检查网络连通性,验证证书有效性,以及测试负载均衡器的健康检查。 总结下来,回答需要结构清晰,分步骤讲解,涵盖架构设计、组件配置、工具选择、网络存储、监控备份等各个方面,同时给出具体命令示例和注意事项,确保用户能够逐步实施并避免常见陷阱。</think>部署高可用 Kubernetes 集群的核心目标是消除单点故障,确保控制平面和关键组件在节点故障时仍能稳定运行。以下是分步指南: --- ### **一、架构设计** 1. **控制平面高可用** - 至少部署 **3 个 Master 节点**(奇数个以解决 etcd 选举问题) - 使用 **负载均衡器(LB)** 代理 API Server 流量(如 HAProxy + Keepalived 或云厂商 LB) - 拓扑模式选择: - **堆叠式(Stacked)**:每个 Master 节点同时运行 API Server 和 etcd - **外部 etcd**:独立部署 3 个 etcd 节点(更高隔离性但复杂度增加) 2. **工作节点** - 根据业务需求横向扩展,建议至少 2 个 Worker 节点 - 跨可用区(AZ)部署以提升容灾能力 --- ### **二、部署步骤** #### **1. 前置准备** ```bash # 所有节点执行 # 关闭 Swap sudo swapoff -a sed -i '/swap/s/^/#/' /etc/fstab # 配置内核参数 cat <<EOF | sudo tee /etc/modules-load.d/k8s.conf overlay br_netfilter EOF sudo modprobe overlay sudo modprobe br_netfilter # 配置 sysctl cat <<EOF | sudo tee /etc/sysctl.d/k8s.conf net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-ip6tables = 1 net.ipv4.ip_forward = 1 EOF sudo sysctl --system ``` #### **2. 安装容器运行时(以 Containerd 为例)** ```bash # 所有节点安装 Containerd apt-get update && apt-get install -y containerd sudo mkdir -p /etc/containerd containerd config default | sudo tee /etc/containerd/config.toml sudo systemctl restart containerd ``` #### **3. 使用 kubeadm 部署控制平面** **首个 Master 节点初始化** ```bash sudo kubeadm init \ --control-plane-endpoint "LOAD_BALANCER_IP:6443" \ --upload-certs \ --pod-network-cidr=10.244.0.0/16 ``` **添加其他 Master 节点** ```bash # 根据 kubeadm init 输出的命令加入集群 kubeadm join LOAD_BALANCER_IP:6443 \ --token <token> \ --discovery-token-ca-cert-hash <hash> \ --control-plane \ --certificate-key <key> ``` #### **4. 部署网络插件(以 Calico 为例)** ```bash kubectl apply -f https://docs.projectcalico.org/manifests/calico.yaml ``` #### **5. 验证集群状态** ```bash kubectl get nodes -o wide kubectl get componentstatus # 检查控制平面组件健康状态 ``` --- ### **三、关键配置优化** 1. **etcd 调优** - 启用 etcd 自动快照备份 - 配置心跳间隔(`--heartbeat-interval`)和选举超时(`--election-timeout`) 2. **API Server 负载均衡** - 配置 LB 健康检查指向 API Server 的 6443 端口 - 使用 TCP 而非 HTTP 检查(API Server 不响应 HTTP 根路径) 3. **证书管理** - 使用 `kubeadm certs renew` 定期更新证书 - 或集成 cert-manager 实现自动化 --- ### **四、高可用附加组件** | 组件 | 作用 | 推荐工具 | |------------------|-----------------------------|-----------------------| | 持久化存储 | 提供跨节点数据持久化 | Rook (Ceph)、Longhorn | | 监控告警 | 实时监控集群状态 | Prometheus + Grafana | | 日志收集 | 聚合容器日志 | EFK (Elasticsearch+Fluentd+Kibana) | | 灾难恢复 | etcd 数据备份与恢复 | etcdctl snapshot | --- ### **五、常见问题排查** - **API Server 不可达**:检查 LB 配置、防火墙规则(6443 端口) - **etcd 集群故障**:使用 `etcdctl endpoint status` 验证节点健康 - **证书过期**:`kubeadm certs check-expiration` 查看有效期 --- ### **六、生产建议** 1. 使用基础设施即代码(IaC)工具(如 Terraform)管理节点生命周期 2. 定期执行混沌测试(如使用 Chaos Mesh)验证高可用性 3. 遵循最小权限原则,配置 RBAC 和网络策略 通过以上步骤,可构建一个符合生产要求的高可用 Kubernetes 集群。实际部署时需根据业务规模、云环境特性(如 AWS EBS 卷绑定)调整细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

house.zhang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值