kubeadm token 默认24小时过期是安全设计,非bug;可通过kubeadm token create --print-join-command快速生成新token及完整join命令。
token 默认 24 小时过期,不是 bug 是安全设计
kubeadm join 命令依赖的 token 默认有效期就是 24 小时(从 kubeadm init 输出那一刻起算),这是自 v1.8 起的硬性策略,目的很明确:防止长期有效的引导凭证被泄露或滥用。它不是配置遗漏,也不是集群异常——是 kubeadm 主动限制的最小攻击窗口。
常见错误现象:kubeadm join 报错 failed to connect to api server 或 invalid token,但节点网络、端口、防火墙都通;kubeadm token list 显示 TTL 为 0s 或 EXPIRES 已过期。
- 永远别指望 init 后保存的原始 join 命令能“一直用”——哪怕你只晚了 1 天执行
-
--token-ttl 0可生成永不过期 token,但生产环境不建议:一旦泄露,等于永久后门 - token 本身不加密,只用于短期双向认证;真正绑定身份的是后续 TLS 握手和证书签发流程
快速续期:一条命令生成新 token + 完整 join 命令
不用手动拼接 CA hash,也不用再 openssl 算一遍——kubeadm 自带捷径:
kubeadm token create --print-join-command
这条命令会自动做三件事:生成新 token、读取本地 /etc/kubernetes/pki/ca.crt、计算并填入 --discovery-token-ca-cert-hash,直接输出可复制粘贴的完整 kubeadm join 命令。
- 如果需要指定有效期(比如 48 小时):
kubeadm token create --ttl 48h --print-join-command - 如果想让 token 仅用于 worker 节点(禁止成为 control-plane):
--usages authentication,signing(默认即如此) - 注意:该命令必须在 control-plane 节点上运行,且用户需有
/etc/kubernetes/pki读权限
certificate-key 不是 token,它只在添加 control-plane 节点时才需要
certificate-key 和 token 完全是两回事:token 用于所有节点(worker/control-plane)的初始发现与认证;而 certificate-key 是用于加密控制平面组件证书(如 etcd、apiserver)的对称密钥,仅在 kubeadm join --control-plane 时传输给新 master 节点,用于解密并写入本地 /etc/kubernetes/pki。
它的有效期逻辑完全不同:它本身无 TTL,但对应证书(如 apiserver.crt)默认 1 年过期;若证书快到期,需单独轮换:kubeadm certs renew apiserver,而非重生成 certificate-key。
- 普通 worker 节点 join 时完全不需要
--certificate-key参数 - 如果你没执行过
kubeadm init时加--upload-certs,那 cluster 就没生成过 certificate-key,此时加 control-plane 会失败 - certificate-key 泄露风险极高——它等价于把整个 control-plane 证书体系的解密钥匙交出去
容易被忽略的细节:CA hash 必须严格匹配,大小写敏感且含 sha256:
即使 token 新鲜有效,join 仍失败?大概率是 --discovery-token-ca-cert-hash 值错了。这个值不是“随便算一次就行”,它必须精确匹配当前集群 CA 证书的 SHA256 哈希,并且前缀 sha256: 不能少、不能写成 SHA256: 或漏掉冒号。
- 手动计算方式(备用):
openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //',结果前面要手动加sha256: - 不同 master 节点上的
ca.crt是同一份(通过 init 生成并分发),所以 hash 值全局一致 - 如果集群启用了外部 CA(非 kubeadm 自动生成),那 hash 值取决于你提供的证书,不是上面命令能算出来的
实际操作中,最省事也最不容易出错的方式就是始终用 kubeadm token create --print-join-command,而不是记旧命令、抄 hash、手拼参数。token 过期不可怕,可怕的是以为它该“一直有效”而没建立定期刷新的习惯。
