k8s集群新增节点重新生成token、certificate-key操作

本文已参与「新人创作礼」活动，一起开启掘金创作之路。

K8S通常执行如下语句进行初始化：

kubeadm init --config=kubeadm_config.yml   --upload-certs   
或者：
kubeadm init --config kubeadm.yaml  
这两条语句的区别就是 第一条生成带certificate key 用来增加master节点的join操作 
后一条就只生成了join work节点的从左。
复制代码

在 kubeadm 初始话集群成功后会返回join 命令，里面有 token，discovery-token-ca-cert-hash等参数，都需要记下来。

token 和discovery-token-ca-cert-hash 可以通过以下指令查询“

• 在master节点执行kubeadm token list获取token（注意查看是否过期）

kubeadm token list
TOKEN                     TTL         EXPIRES                     USAGES                   DESCRIPTION                                                EXTRA GROUPS
47gqgy.6s6ixpaji7uvyexs   23h         2021-09-16T15:19:24+08:00   authentication,signing   <none>                                                     system:bootstrappers:kubeadm:default-node-token
abcdef.0123456789abcdef   20h         2021-09-16T11:33:48+08:00   authentication,signing   <none>                                                     system:bootstrappers:kubeadm:default-node-token
tih0zc.wya6ql0z8cu0o37g   1h          2021-09-15T17:17:10+08:00   <none>                   Proxy for managing TTL for the kubeadm-certs secret        <none>
复制代码

• 如果没有--discovery-token-ca-cert-hash值，通过以下命令获取

 openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'
d51efc3d524678c821fe1ca33e447b0b904b1dede6d7b1e203c7e045abe410dd
复制代码

也可以重新生成：

• 执行kubeadm token create --print-join-command，重新生成 join 命令 可用来join work节点

 kubeadm token create --print-join-command
W0915 15:19:24.536673    9028 configset.go:348] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
kubeadm join 10.132.24.99:6443 --token 47gqgy.6s6ssxpaji7uvyexs     --discovery-token-ca-cert-hash sha256:d51efc3d524678c821fsssca33e447b0b904b1dede6d7b1e203c7e045abe410dd 
复制代码

如果需要添加master节点需要

• 使用 kubeadm init phase upload-certs --upload-certs 重新生成certificate-key （这里需要注意老版本 需要用 kubeadm init phase upload-certs --experimental-upload-certs 生成）

 kubeadm init phase upload-certs --upload-certs
I0915 15:17:08.073342    7441 version.go:252] remote version is much newer: v1.22.1; falling back to: stable-1.19
W0915 15:17:10.611539    7441 configset.go:348] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
[upload-certs] Storing the certificates in Secret "kubeadm-certs" in the "kube-system" Namespace
[upload-certs] Using certificate key:
6d7089e97b8c96ac7ad478173c7928e5becdf1faed85ccd2d4654b8dc514fc32
复制代码

然后加 master 节点：用上面生成的 work join 命令和后面生成的生成的--certificate-key 值拼接起来执行

 kubeadm join 10.136.17.12:6443 --token abcdef.0123456789abcdef \
    --discovery-token-ca-cert-hash sha256:2fbacdf6a9473d5da1d98900f73cxxx772b12ac99017d6ae756d8c3cc \
    --control-plane --certificate-key f0725584c26c192478d266c4dc5804a1ss5d7b40257837eea0676d1972cca
复制代码

参考

blog.csdn.net/dazuiba008/…