Kubernetes节点与令牌管理

一、令牌管理

查看令牌

  1. [root@master ~]# kubeadm token list

删除令牌

  1. [root@master ~]# kubeadm token delete <令牌值>

创建令牌-临时令牌

  1. # 临时 token 生成:
  2. [root@master ~]# kubeadm token create
  3.  token 的有效期为 24 小时,过期后需要重新生成 token

创建令牌-临时令牌

  1. # 永久 token 生成:
  2. [root@master ~]# kubeadm token create --ttl 0
  3.  token 的有有效期为永久有效。
  5. 为了安全起见,建议使用临时 token ,而不要使用永久的 token

二、K8S节点管理

2.1、查看节点

  1. 查看当前的节点信息:
  2. [root@master ~]# kubectl get nodes
  4. NAME     STATUS   ROLES    AGE     VERSION
  5. master   Ready    master   4h40m   v1.19.3
  6. node-1   Ready    <none>   4h39m   v1.19.3
  7. node-2   Ready    <none>   3h58m   v1.19.3

2.2、删除节点

驱逐即将删除node节点上的pod

如果需要从集群中移除 node-2 这个 Node ,在 master上执行下面的命令,安全驱逐节点上面所有的 pod,该命令执行成功后 node节点开始释放所有 pod ,并且不接收新的 pod 进程

  1. [root@master ~]# kubectl drain node-2 --delete-local-data --force --ignore-daemonsets
  2. 注:默认情况下,kubectl drain 会忽略那些不能杀死的系统类型的 pod
  4. 参数说明:
  6. --force:当一些pod不是经 ReplicationController, ReplicaSet, Job, DaemonSet 或者 StatefulSet 管理的时候
  7. 就需要用 --force 来强制执行 (例如:kube-proxy)
  9. --ignore-daemonsets:无视 DaemonSet 管理下的 Pod
  11. --delete-local-data:如果有 mount local volumn  pod,会强制杀掉该 pod 并把料清除掉,另外如果跟本身的配置信息有冲突时,drain就不会执行
  13. 该命令会安全驱逐节点上面所有的 pod ,安全驱逐的方式将会允许 pod 里面的容器遵循指定的 Pod DisruptionBudgets 执行优雅的中止。

kubectl drain 返回成功表明所有的 pod (除了前面排除的那些)已经被安全驱逐(遵循期望优雅的中止期,并且没有违反任何应用程序级别的中断预算)。然后,通过对物理机断电或者在云平台上删除节点所在的虚拟机,都能安全的将节点移除。

恢复node,继续接收新pod
节点上的pod被驱逐后,如果不删除node的话,进行完对应的升级或维护后可以恢复node,恢复接收新的pod进程

  1. [root@master ~]# kubectl uncordon node-2

删除节点

  1. [root@master ~]# kubectl delete node <节点名称>

删除后进行查看

  1. 查看当前的节点信息:
  2. [root@master ~]# kubectl get nodes
  4. NAME     STATUS   ROLES    AGE     VERSION
  5. master   Ready    master   4h40m   v1.19.3
  6. node-1   Ready    <none>   4h39m   v1.19.3

2.3、集群节点扩展

Master 节点加入集群

  1. kubeadm join 192.168.2.100:6444 \
  2.   --token abcdef.0123456789abcdef \
  3.   --discovery-token-ca-cert-hash sha256:ec36d9832497453d5297e86f13928a3374e831da8861372f2086ea79c000bad7 \
  4.   --control-plane --certificate-key 80847d457d198a8ce1483817e11de8a472ff68b94410db2574e55c2f56f1b7be

Node节点加入集群

  1. kubeadm join 192.168.2.100:6444 --token abcdef.0123456789abcdef \
  2.     --discovery-token-ca-cert-hash sha256:ec36d9832497453d5297e86f13928a3374e831da8861372f2086ea79c000bad7

以上信息为高可用的加入信息,这里所显示的 token 的有效期为 24 小时,在有效期内,可以直接使用命令加入我们的集群,如果超过了有效期的话,那么我们的 token 已经过期,就需要我们重新生成 token ,然后在进行加入。

2.4、token过期的解决方案

token 过期后,生成新的token

2.4.1、节点加入单master集群

  • 创建新的token
  1. [root@master ~]# kubeadm token create
  3. W0410 16:22:44.706213   11426 configset.go:202] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
  4. oqghzy.40dftxcaeegan10t < 这一条信息是我们新生成的 token >

获取ca证书的hash值
token 生成完后,我们还需要获取 ca 证书 sha256 编码 hash 值,查看当前 k8s 集群的 ca 证书 sha256 编码 hash 值,我们的 ca 证书默认存放在 /etc/kubernetes/pki 目录下

  1. [root@master ~]# openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'
  3. a5a41919d1200e21bcafe066a1423ca904aaa70a9dd1582ea668993e8e831fc7   < 这一条信息就是我们的 hash  >
  • 将新master加入单master的集群
    然后我们通过新生成的 token 和 ca 证书 sha256 编码 hash 值重新组装得到有效的 work node 加入集群命令:
  1. [root@master ~]# kubeadm join 192.168.2.20:6443 --token oqghzy.40dftxcaeegan10t \
  2.     --discovery-token-ca-cert-hash sha256:a5a41919d1200e21bcafe066a1423ca904aaa70a9dd1582ea668993e8e831fc7
  4. 这里需要注意一下,如果是加入单 master 集群,那么我们使用的 IP 地址为我们 master  IP 地址与 6443 端口。
  6. #或者我们也可以使用命令,直接生成出包含新的token与hash值的完整加入命令,这样更加轻松有效。
  8. [root@master ~]# kubeadm token create --print-join-command
  10. kubeadm join 192.168.2.100:6444 --token 1kuag1.elna9kktnznxr50m     --discovery-token-ca-cert-hash sha256:a5a41919d1200e21bcafe066a1423ca904aaa70a9dd1582ea668993e8e831fc7

2.4.2、节点加入高可用集群

高可用集群与单master集群不同的地方在于还要生成用于新master加入的证书

  • 首先生成新的 token
[root@master ~]# kubeadm token create --print-join-command
  • 生成新的用于 master 加入的证书
  1. [root@master ~]# kubeadm init phase upload-certs --upload-certs
  3. W0410 16:49:45.773081   21497 configset.go:202] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
  4. [upload-certs] Storing the certificates in Secret "kubeadm-certs" in the "kube-system" Namespace
  5. [upload-certs] Using certificate key:
  6. 1d57c7bbf579b9bdcf3441cd45dd01a2a066e75b45fe672a0f5295e07a337d0d    < 这一条信息是用于 master 加入的证书信息 >

然后我们通过新生成的 token 和 ca 证书 sha256 编码 hash 值还有新生成的 master 证书的值,重新组装得到有效的 master 加入集群命令:

  1. kubeadm join 192.168.2.100:6444 \
  2.   --token 1kuag1.elna9kktnznxr50m \
  3.   --discovery-token-ca-cert-hash sha256:a5a41919d1200e21bcafe066a1423ca904aaa70a9dd1582ea668993e8e831fc7 \
  4.   --control-plane --certificate-key 1d57c7bbf579b9bdcf3441cd45dd01a2a066e75b45fe672a0f5295e07a337d0d

五、kubernetes节点与令牌管理的更多相关文章

  1. Kubernetes容器集群管理环境 - Prometheus监控篇

    一.Prometheus介绍之前已经详细介绍了Kubernetes集群部署篇,今天这里重点说下Kubernetes监控方案-Prometheus+Grafana.Prometheus(普罗米修斯)是一 ...

  2. Kubernetes容器集群管理环境 - 完整部署(中篇)

    接着Kubernetes容器集群管理环境 - 完整部署(上篇)继续往下部署: 八.部署master节点master节点的kube-apiserver.kube-scheduler 和 kube-con ...

  3. 阿里云上万个 Kubernetes 集群大规模管理实践

    点击下载<不一样的 双11 技术:阿里巴巴经济体云原生实践> 本文节选自<不一样的 双11 技术:阿里巴巴经济体云原生实践>一书,点击上方图片即可下载! 作者 | 汤志敏,阿里 ...

  4. Kubernetes容器集群管理环境 - 完整部署(下篇)

    在前一篇文章中详细介绍了Kubernetes容器集群管理环境 - 完整部署(中篇),这里继续记录下Kubernetes集群插件等部署过程: 十一.Kubernetes集群插件 插件是Kubernete ...

  5. Kubernetes 使用 Kubevirt 运行管理 Windows 10 操作系统

    原文链接:https://fuckcloudnative.io/posts/use-kubevirt-to-manage-windows-on-kubernetes/ 最近我发现我的 Kubernet ...

  6. 六、Kubernetes节点与 Pod 亲和性

    Kubernetes节点与 Pod 亲和性 一.节点亲和性策略介绍 ​pod.spec.nodeAffinity preferredDuringSchedulingIgnoredDuringExecu ...

  7. 我眼中的Linux设备树(五 根节点)

    五 根节点一个最简单的设备树必须包含根节点,cpus节点,memory节点.根节点的名字及全路径都是"/",至少需要包含model和compatible两个属性.model属性我们 ...

  8. Linux设备树(五 根节点)

    五 根节点 一个最简单的设备树必须包含根节点,cpus节点,memory节点.根节点的名字及全路径都是“/”,至少需要包含model和compatible两个属性.model属性我们在属性那节已经说过 ...

  9. Token令牌管理权限

    什么是token HTTP是一种无状态的协议,也就是HTTP没法保存客户端的信息,没办法区分每次请求的不同. Token是服务器生成的一串字符,作为客户端请求的令牌.当第一次登陆后,服务器会分发Ton ...

随机推荐

  1. [跨数据库、微服务] FreeSql 分布式事务 TCC/Saga 编排重要性

    前言 FreeSql 支持 MySql/SqlServer/PostgreSQL/Oracle/Sqlite/Firebird/达梦/Gbase/神通/人大金仓/翰高/Clickhouse/MsAcc ...

  2. Excel 文本函数(一):LEFT、RIGHT 和 MID

    文本函数 LEFT.RIGHT 以及 MID 是非常常用的,它们用于截取文本字符串. LEFT(text, [num_chars]) 是从文本字符串的左边开始截取:RIGHT(text, [num_c ...

  3. Word 脚注和尾注是什么?怎么设置?

    描述 脚注一般位于页面的底部,作为文档某处内容的注释.尾注一般位于文档的末尾,列出引文的出处等. 设置脚注和尾注 将光标移动到要插入脚注或尾注的地方,然后点击"引用"选项卡. 左边 ...

  4. ettercap之dns欺骗攻击

    前言:攻击机(kali)和受害机(win7)需在同一网段下 1.首先创建一个钓鱼克隆网站,这里我就利用CS来弄了 2.对Ettercap的dns文件进行编辑 3.开启ettercap 4.去受害机看看 ...

  5. 用GitHub Actions自动部署Hexo

    什么是 GitHub Actions ? GitHub Actions 是一个 CI/CD(持续集成/持续部署)工具,GitHub 于 2018 年 10 月推出,正式版于 2019 年 11 月正式 ...

  6. NOI2021 同步赛游记

    写在前面的话 为什么叫游记呢?因为我第一天是在划水中度过的,错过了对原题的发现. O n e I n D a r k \tt OneInDark OneInDark 无比风光地去了浙江,却倒霉地遇上了 ...

  7. 【java】学习路线1-类型转换、隐式转换、强制转换

    /**文档注释,这里是一段文章一般放在类的外面*/public class HelloWorld{    //这个是注释的文本    public static void main(String[] ...

  8. Docker问题:"docker build" requires exactly 1 argument.

    今天在搭建Docker私有仓库的时候.提示错误:"docker build" requires exactly 1 argument. 原因是因为(少了一个 '.' , '.' 代 ...

  9. 配置联想IMM使用AD账户登录

    IMM是联想(IBM)服务器的管理卡Integrated Management Module的缩写,现在是第二个版本.通过它可以远程管理服务器,就像你在服务器面前操作一样.可以修改BIOS设置,可以重 ...

  10. 使用 Elastic 技术栈构建 K8S 全栈监控 -2: 用 Metricbeat 对 Kubernetes 集群进行监控

    文章转载自:https://www.qikqiak.com/post/k8s-monitor-use-elastic-stack-2/ 操作步骤 git clone https://github.co ...