07.kubeadm 集群初始化命令指南09-token

于 2025-04-04 13:43:49 发布
阅读量586 收藏 11
点赞数 27
分类专栏: Kubernetes 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39749311/article/details/146997790
版权

kubeadm token 命令使用指南

一、kubeadm token 命令详解

  1. 命令概述
    kubeadm token 命令用于管理 Kubernetes 集群的引导令牌(bootstrap tokens)。这些令牌在节点加入集群时建立客户端与服务器之间的双向信任关系,
    是高级用例中的可选组件。

  2. 引导令牌的作用
    ‌建立信任‌:当客户端(如即将加入集群的节点)需要信任与之通信的服务器时,可使用具有“签名”用途的引导令牌。
    ‌短期认证‌:引导令牌还可作为向 API 服务器进行短期认证的方式,例如用于 TLS 引导过程。

  3. 引导令牌的具体信息
    ‌Secret 类型‌:引导令牌是存储在 kube-system 命名空间中的类型为 “bootstrap.kubernetes.io/token” 的 Secret。
    ‌格式要求‌:令牌必须遵循 “a-z0-9]{6}.a-z0-9]{16}” 的格式。前半部分是公共令牌 ID,后半部分是令牌密钥,必须严格保密。
    ‌Secret 名称‌:Secret 的名称必须为 “bootstrap-token-(token-id)”。

  4. 可用子命令
    ‌create‌:在服务器上创建引导令牌。
    ‌delete‌:在服务器上删除引导令牌。
    ‌generate‌:生成并打印引导令牌,但不在服务器上创建它。
    ‌list‌:列出服务器上的所有引导令

  5. 使用示例
    ‌查看帮助信息‌:通过 kubeadm token -h 查看命令的简要说明及可用子命令。
    ‌创建令牌‌:使用 kubeadm token create 命令在服务器上创建新的引导令牌。
    ‌删除令牌‌:通过指定令牌 ID 或 Secret 名称,使用 kubeadm token delete 命令删除特定的引导令牌。
    ‌生成令牌‌:运行 kubeadm token generate 命令生成一个新的引导令牌,但不会将其存储在服务器上。
    ‌列出令牌‌:使用 kubeadm token list 命令查看服务器上所有现有的引导令牌。

二、创建加入集群的令牌

1. 命令核心功能

用于创建 Kubernetes 集群的引导令牌(Bootstrap Token),支持以下核心能力:
‌生成随机令牌‌(默认)或‌指定自定义令牌‌
控制令牌有效期(TTL)
定义令牌用途(签名、认证)
直接生成节点加入命令(–print-join-command)

二、关键参数解析

kubeadm token create -h

--ttl	令牌有效期	2h30m、0(永不过期)	24h
--usages	令牌用途(逗号分隔)	signing,authentication	[signing,authentication]
--groups	认证组(RBAC 权限关联)	system:bootstrappers:worker-nodes	system:bootstrappers:kubeadm:default-node-token
--description	人类可读的令牌描述	"Auto-scaling worker token"	-
--print-join-command	输出完整的节点加入命令	true	false
--certificate-key	控制平面加入时的证书密钥(需配合 --print-join-command)	7a3f...d82c	-

三、典型场景操作示例

场景 1:创建普通工作节点令牌(有效期 2 小时)

kubeadm token create --ttl=2h --description="Worker node onboarding"

执行输出

root@k8s-master01:~# kubeadm token create --ttl=2h --description="Worker node onboarding"
xwt3zf.zhum519ch1hrn5ir
root@k8s-master01:~# kubeadm token list
TOKEN                     TTL         EXPIRES   USAGES                   DESCRIPTION                                                EXTRA GROUPS
abcdef.0123456789abcdef   <forever>   <never>   authentication,signing   <none>                                                     system:bootstrappers:kubeadm:default-node-token
xwt3zf.zhum519ch1hrn5ir   1h          2025-04-04T03:51:31Z   authentication,signing   Worker node onboarding                                     system:bootstrappers:kubeadm:default-node-token

场景 2:创建控制平面节点令牌(需证书密钥)

# 生成证书密钥(在控制平面节点执行)
kubeadm init phase upload-certs --upload-certs

# 创建令牌并输出加入命令
kubeadm token create --ttl=1h \
  --certificate-key=7a3f...d82c \
  --print-join-command

执行输出

步骤1
root@k8s-master01:~# kubeadm init phase upload-certs --upload-certs
[upload-certs] Storing the certificates in Secret "kubeadm-certs" in the "kube-system" Namespace
[upload-certs] Using certificate key:
12b19772aaea4b390607ea0a9c292ac4cc6a140fdfdb3c082ff384c379010c95

步骤2
root@k8s-master01:~# kubeadm token create --ttl=1h \
>   --certificate-key=12b19772aaea4b390607ea0a9c292ac4cc6a140fdfdb3c082ff384c379010c95 \
>   --print-join-command
kubeadm join 10.62.1.180:8443 --token 32yq2v.o3f04itiwo4hju5o --discovery-token-ca-cert-hash sha256:ddf7eba18b7422823b475f7feb1dad2b2f03daab67abebbe51c957df350b476e --control-plane --certificate-key 12b19772aaea4b390607ea0a9c292ac4cc6a140fdfdb3c082ff384c379010c95
后续将生成kubeadm join  命令用于集群master 节点加入使用

场景 3:创建永久令牌(用于 CI/CD 流水线)

kubeadm token create --ttl=0 \
  --usages=authentication \
  --groups=system:bootstrappers:ci-pipeline

执行输出

root@k8s-master01:~# kubeadm token list
TOKEN                     TTL         EXPIRES                USAGES                   DESCRIPTION  
d73f8z.6uj2kx5h8nxiv93x   <forever>   <never>   authentication           <none>                                                     system:bootstrappers:ci-pipeline

四、安全操作规范

1.令牌生命周期管理

# 查看所有令牌
kubeadm token list

# 删除过期令牌
kubeadm token delete d73f8z.6uj2kx5h8nxiv93x 
bootstrap token "d73f8z" deleted

‌2.证书密钥保护

# 加密存储证书密钥
echo "7a3f...d82c" | gpg --encrypt -r admin@example.com > cert-key.gpg

‌3.最小权限原则

# RBAC 配置示例(绑定到特定组)
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: node-auto-approve-csr
subjects:
- kind: Group
  name: system:bootstrappers:worker-nodes
roleRef:
  kind: ClusterRole
  name: system:certificates.k8s.io:certificatesigningrequests:nodeclient
  1. 调试技巧
    查看令牌 Secret 详情
kubectl -n kube-system get secret/bootstrap-token-abcdef -o yaml

五、参数组合参考表

操作目标 推荐参数组合
临时维护令牌 --ttl=15m --description=“Emergency maintenance”
自动扩缩容 --ttl=0 --groups=system:bootstrappers:autoscaler
多控制平面部署 --print-join-command --certificate-key=
受限用途令牌 --usages=signing --groups=system:bootstrappers:auditroups=system:bootstrappers:autoscaler
多控制平面部署 --print-join-command --certificate-key=
受限用途令牌 --usages=signing --groups=system:bootstrappers:audit

kubeadm 生成的token过期后,集群增加或删除节点-详细
qq_34953582的博客
06-19 312
kubeadm 生成的token过期后,集群增加或删除节点-
k8skubeadm生成Token以及设置过期时间kubeadm删除token
风水道人
08-03 2163
k8skubeadm生成Token以及设置过期时间kubeadm删除token
kube获得token_kubeadmin安装k8s
weixin_39933438的博客
01-17 264
yum源mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bkwget -nc http://mirrors.aliyun.com/repo/Centos-7.repo系统配置net.bridge.bridge-nf-call-ip6tables = 1net.bridge.bridge-nf-call-i...
Kubernetes】云原生小技巧 3 之 kubeadm token 命令
最新发布
mm1234556的博客
01-08 290
这是一篇关于如何使用 kubeadm token 命令的文章!
kubeadm搭建
雪花凌落的盛夏
04-13 3309
一、kubeadm创建集群 请参照以前Docker安装。先提前为所有机器安装Docker 1、安装kubadm 一台兼容的 Linux 主机。Kubernetes 项目为基于 Debian 和 Red Hat 的 Linux 发行版以及一些不提供包管理器的发行版提供通用的指令 每台机器 2 GB 或更多的 RAM (如果少于这个数字将会影响你应用的运行内存) 2 CPU 核或更多 集群中的所有机器的网络彼此均能相互连接(公网和内网都可以) 设置防火墙放行规则 节点之中不可以有
(k8s)kuberneteskubeadm生成的token重新获取
Richardlygo的博客
05-23 629
当你的token忘了或者过期,解决办法如下: 1.先获取token #如果过期可先执行此命令 kubeadm token create #重新生成token #列出token kubeadm token list | awk -F" " '{print $1}' |tail -n 1 2.获取CA公钥的哈希值 openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2&gt
kubeadm部署k8s集群
m0_37944592的博客
02-08 1900
. 介绍 使用kubeadm部署k8s集群的步骤: 第一步:是在机器上部署容器运行时(docker,containerd等); 第二步:然后部署kubeadm,kubelet,kubectl这三个服务; 第三步:使用kubeadm init 部署master节点; 第四步:使用kubeadm join 加入其他节点。 二 . 节点准备工作: 安装前确认每个节点的MAC和uuid唯一,不冲突 # 查看MAC,确保每个节点的mac唯一 ifconfig-a # 查看pr...
k8s-集群初始化kubeadm init踩的坑和经验
热门推荐
qq_43566826的博客
10-23 2万+
刚开始学是按照这篇文章搭建: 使用vmware搭建k8s集群(keubernetes集群) 后来在初始化集群的时候遇到了问题 参考文章: kubeadm init初始化k8s集群时报错,[kubelet-check] Initial timeout of 40s passed. 对于此文章的第三点,如果你报错是这个: 说明它默认从k8s.gcr.io拉取镜像。而这个在国内你是访问不了的,所以要指定国内镜像 $ kubeadm init \ --apiserver-advertise-address=19
kubeadm-init初始化流程-详细指南
Kubeadm-init是Kubeadm提供的命令,用于在Master节点执行,初始化一个全新的Kubernetes集群,并设置初始Master节点的配置。 ### 1.3 初始化流程概述 Kubeadm-init的流程大致包括配置Docker、初始化Master节点、设置...
初始化k8s集群-快速入门指南
Kubernetes可以帮助用户自动化地部署、扩展和管理容器化应用程序,提供了丰富的功能来管理容器的生命周期,以及进行自动化的部署、规划、扩展、更新、自愈等操作。 ### 1.2 k8s集群的优势和应用场景 Kubernetes...
kubeadm集群token过期:节点增删解决方案
Kubernetes 集群中,`kubeadm` 是一个用于初始化和管理集群的工具,它在设置新节点加入时会生成安全的认证令牌(token)。然而,这些 token 默认的有效期仅为24小时。如果超过这个时间,token 就会失效,导致无法...
K8s Token 过期解决方案(Kubeadm
RAB
02-08 5020
K8s Token 过期解决方案(Kubeadm)。
『高效管理Kubernetes子节点』解析K8S集群Token查询与重新生成的方式
老陈聊架构
01-16 3027
K8S子节点加入集群Token查询及重新生成
k8s踩坑记 - kubeadm join 之 token 失效
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
07-20 1985
看到这个提示信息,我完全100%地相信,node 已经加入集群,并且只要等一会儿,通过 kubectl get nodes 就可以看到过一会儿,又过一会,再过一
kubeadm常用命令
wzj_110的博客
01-17 1336
kubeadm token 命令。config view 查看。
K8S从入门到放弃(三)——kubeadm部署
weixin_48485805的博客
09-11 292
一 官网 点击查看部署kubeadm官方文档 二 环境说明 1 软件环境 (优快云创建表格真恶心,如果有方便的方法请私信我,感谢) 软件 版本 操作系统 Centos 7.9_64 Docker 19-ce Kubernets 1.21 2 服务器配置 点击查看最小资源配置 CPU 内存 硬盘 4C 4G 20G 3 服务器规划 角色 IP k8s-master 192.168.100.101 k8s-node1 192.168.100.
kubeadm 常用命令
爱死亡机器人
08-23 1万+
kubeadm 概述 Kubeadm 是一个工具,它提供了 kubeadm init 以及 kubeadm join 这两个命令作为快速创建 kubernetes 集群的最佳实践。 安装 官方参考: kuadmin安装 任务 kubeadm init 启动引导一个 Kubernetes 主节点 kubeadm join 启动引导一个 Kubernetes 工作节点并且将其加入到集群 kubeadm upgrade 更新 Kubernetes 集群到新版本 kubeadm config 如果你使用 kube
kubeadm获取或创建加入k8s集群token
skh2015java的博客
08-08 3735
kubeadm加入k8s集群 kubeadm join ip:port --token <token的值> \ –discovery-token-ca-cert-hash sha256: <sha的值> k8s中token一般有效期为24小时 1.查看token是否有效 $ kubeadm token list 如果获取到的值不为空,则该token有效 2.获取ca证书sha256编码hash值 $ openssl x509 -pubkey -in /etc/kubernetes/
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Liao wen xiu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值