kubeadm集群token过期：节点增删解决方案

"kubeadm 生成的 Kubernetes 集群token过期后，如何处理节点的添加与移除——一份详细的操作指南" 在 Kubernetes 集群中，`kubeadm` 是一个用于初始化和管理集群的工具，它在设置新节点加入时会生成安全的认证令牌（token）。然而，这些 token 默认的有效期仅为24小时。如果超过这个时间，token 就会失效，导致无法使用它来添加或删除节点。本文档将详细阐述当 token 过期后，如何处理集群中的节点操作。 1. 检查当前集群状态 在 Kubernetes 主节点（master）上运行 `kubectl get node` 命令，可以查看当前集群中的节点状态。例如： ``` [root@k8s-master~]# kubectl get node NAME STATUS ROLES AGE VERSION k8s-master Ready control-plane, master 53d v1.20.4 k8s-node1 Ready <none> 53d v1.20.4 k8s-node2 Ready <none> 53d v1.20.4 ``` 使用 `-o wide` 参数可查看更详细的信息，如内部IP、外部IP、操作系统版本和容器运行时等。 2. 创建新节点 如果需要添加新节点，例如创建了新的虚拟机192.168.60.131，这台新机器将作为新的工作节点（worker node）加入集群。 3. 生成新的token 在 Kubernetes 主节点上，使用 `kubeadm token create` 命令生成新的token： ``` [root@k8s-master~]# kubeadm token create ``` 这将输出一个新的token，例如 `nv9rsh.kwiv52ieug7j891d23h`。 4. 查看并管理token 可以使用 `kubeadm token list` 查看所有可用和已过期的token： ``` [root@k8s-master~]# kubeadm token list TOKENTTLEXPIRESUSAGESDESCRIPTIONEXTRAGROUPS nv9rsh.kwiv52ieug7j891d23h2021-10-... ``` 5. 在新节点上配置 在新节点上，使用生成的token和主节点的kubelet配置进行初始化，例如： ``` sudo kubeadm join [k8s-master-ip]:6443 --token nv9rsh.kwiv52ieug7j891d23h \ --discovery-token-ca-cert-hash sha256:... ``` 这里 `--discovery-token-ca-cert-hash` 是证书指纹，确保节点信任集群的API服务器。 6. 移除节点 如果需要从集群中移除节点，可以先在master节点上使用 `kubectl drain` 命令将节点从服务中移除，避免数据丢失： ``` [root@k8s-master~]# kubectl drain k8s-node1 --delete-local-data --force --ignore-daemonsets ``` 然后，在master节点上使用 `kubectl delete node` 删除节点记录： ``` [root@k8s-master~]# kubectl delete node k8s-node1 ``` 7. 更新过期的token 如果希望延长token的有效期，可以修改 `/etc/kubernetes/manifests/kube-apiserver.yaml` 文件中的 `--token-ttl` 参数，重启kube-apiserver服务使更改生效。 总结来说，当 `kubeadm` 生成的token过期后，可以通过在master节点上生成新的token，并在新节点上使用新token进行初始化来添加节点。移除节点则需要先执行drain操作，然后在master节点上删除节点记录。同时，为了长期管理，可以调整token的生命周期以适应实际运维需求。