kubeadm 生成的token过期后，集群增加或删除节点.docx

kubeadm生成的token过期后,集群增加或删除节点

通过kubeadm初始化后，都会提供node加入的token。

默认token的有效期为24小时，当过期之后，该token就不可用了。解决方法如下：

1).查看现有的集群（在k8s-master上操作）

[root@k8s-master~]#kubectlgetnode

NAMESTATUSROLESAGEVERSION

k8s-masterReadycontrol-plane,master53dv1.20.4

k8s-node1Readynone53dv1.20.4

k8s-node2Readynone53dv1.20.4

[root@k8s-master~]#kubectlgetnode-owide

NAMESTATUSROLESAGEVERSIONINTERNAL-IPEXTERNAL-IPOS-IMAGEKERNEL-VERSIONCONTAINER-RUNTIME

k8s-masterReadycontrol-plane,master53dv1.20.428noneCentOSLinux7(Core)3.10.0-862.el7.x86_64docker://20.10.8

k8s-node1Readynone53dv1.20.429noneCentOSLinux7(Core)3.10.0-862.el7.x86_64docker://20.10.8

k8s-node2Readynone53dv1.20.430noneCentOSLinux7(Core)3.10.0-862.el7.x86_64docker://20.10.8

2).创建一台新的虚拟机：31

3).在k8s-master上重新生成新的token（在k8s-master上操作）

[root@k8s-master~]#kubeadmtokencreate#创建新的token

[root@k8s-master~]#kubeadmtokenlist#查看token

TOKENTTLEXPIRESUSAGESDESCRIPTIONEXTRAGROUPS

nv9rsh.kwiv52ieug7j891d23h2021-10-24T23:58:29+08:00authentication,signingnonesystem:bootstrappers:kubeadm:default-node-token

4).获取ca证书sha256编码hash值（在k8s-master上操作）

[root@k8s-master~]#opensslx509-pubkey-in/etc/kubernetes/pki/ca.crt|opensslrsa-pubin-outformder2/dev/null|openssldgst-sha256-hex|seds/^.*//#获取hash

7f5117bbdbab102327242534572033b9d0ff7506675f46a503a118624912e609

5)新机器节点加入集群（在新机器上操作）节点根据token值和hash值加入集群

初始化机器：

[root@localhost~]#systemctlstopfirewalld

[root@localhost~]#systemctldisablefirewalld

[root@localhost~]#sed-is#enforcing#disabled#/etc/sel