0

0

Linux kubeadm join 的 token / certificate-key 有效期与续期策略

舞夢輝影

舞夢輝影

发布时间:2026-02-19 12:17:25

|

359人浏览过

|

来源于php中文网

原创

kubeadm token 默认24小时过期是安全设计,非bug;可通过kubeadm token create --print-join-command快速生成新token及完整join命令。

linux kubeadm join 的 token / certificate-key 有效期与续期策略

token 默认 24 小时过期,不是 bug 是安全设计

kubeadm join 命令依赖的 token 默认有效期就是 24 小时(从 kubeadm init 输出那一刻起算),这是自 v1.8 起的硬性策略,目的很明确:防止长期有效的引导凭证被泄露或滥用。它不是配置遗漏,也不是集群异常——是 kubeadm 主动限制的最小攻击窗口。

常见错误现象:kubeadm join 报错 failed to connect to api serverinvalid token,但节点网络、端口、防火墙都通;kubeadm token list 显示 TTL 为 0s 或 EXPIRES 已过期。

  • 永远别指望 init 后保存的原始 join 命令能“一直用”——哪怕你只晚了 1 天执行
  • --token-ttl 0 可生成永不过期 token,但生产环境不建议:一旦泄露,等于永久后门
  • token 本身不加密,只用于短期双向认证;真正绑定身份的是后续 TLS 握手和证书签发流程

快速续期:一条命令生成新 token + 完整 join 命令

不用手动拼接 CA hash,也不用再 openssl 算一遍——kubeadm 自带捷径:

kubeadm token create --print-join-command

这条命令会自动做三件事:生成新 token、读取本地 /etc/kubernetes/pki/ca.crt、计算并填入 --discovery-token-ca-cert-hash,直接输出可复制粘贴的完整 kubeadm join 命令。

  • 如果需要指定有效期(比如 48 小时):kubeadm token create --ttl 48h --print-join-command
  • 如果想让 token 仅用于 worker 节点(禁止成为 control-plane):--usages authentication,signing(默认即如此)
  • 注意:该命令必须在 control-plane 节点上运行,且用户需有 /etc/kubernetes/pki 读权限

certificate-key 不是 token,它只在添加 control-plane 节点时才需要

certificate-keytoken 完全是两回事:token 用于所有节点(worker/control-plane)的初始发现与认证;而 certificate-key 是用于加密控制平面组件证书(如 etcd、apiserver)的对称密钥,仅在 kubeadm join --control-plane 时传输给新 master 节点,用于解密并写入本地 /etc/kubernetes/pki

它的有效期逻辑完全不同:它本身无 TTL,但对应证书(如 apiserver.crt)默认 1 年过期;若证书快到期,需单独轮换:kubeadm certs renew apiserver,而非重生成 certificate-key。

  • 普通 worker 节点 join 时完全不需要 --certificate-key 参数
  • 如果你没执行过 kubeadm init 时加 --upload-certs,那 cluster 就没生成过 certificate-key,此时加 control-plane 会失败
  • certificate-key 泄露风险极高——它等价于把整个 control-plane 证书体系的解密钥匙交出去

容易被忽略的细节:CA hash 必须严格匹配,大小写敏感且含 sha256:

即使 token 新鲜有效,join 仍失败?大概率是 --discovery-token-ca-cert-hash 值错了。这个值不是“随便算一次就行”,它必须精确匹配当前集群 CA 证书的 SHA256 哈希,并且前缀 sha256: 不能少、不能写成 SHA256: 或漏掉冒号。

  • 手动计算方式(备用):openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //' ,结果前面要手动加 sha256:
  • 不同 master 节点上的 ca.crt 是同一份(通过 init 生成并分发),所以 hash 值全局一致
  • 如果集群启用了外部 CA(非 kubeadm 自动生成),那 hash 值取决于你提供的证书,不是上面命令能算出来的

实际操作中,最省事也最不容易出错的方式就是始终用 kubeadm token create --print-join-command,而不是记旧命令、抄 hash、手拼参数。token 过期不可怕,可怕的是以为它该“一直有效”而没建立定期刷新的习惯。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
python中print函数的用法
python中print函数的用法

python中print函数的语法是“print(value1, value2, ..., sep=' ', end=' ', file=sys.stdout, flush=False)”。本专题为大家提供print相关的文章、下载、课程内容,供大家免费下载体验。

192

2023.09.27

python print用法与作用
python print用法与作用

本专题整合了python print的用法、作用、函数功能相关内容,阅读专题下面的文章了解更多详细教程。

12

2026.02.03

c语言中null和NULL的区别
c语言中null和NULL的区别

c语言中null和NULL的区别是:null是C语言中的一个宏定义,通常用来表示一个空指针,可以用于初始化指针变量,或者在条件语句中判断指针是否为空;NULL是C语言中的一个预定义常量,通常用来表示一个空值,用于表示一个空的指针、空的指针数组或者空的结构体指针。

244

2023.09.22

java中null的用法
java中null的用法

在Java中,null表示一个引用类型的变量不指向任何对象。可以将null赋值给任何引用类型的变量,包括类、接口、数组、字符串等。想了解更多null的相关内容,可以阅读本专题下面的文章。

786

2024.03.01

登录token无效
登录token无效

登录token无效解决方法:1、检查token的有效期限,如果token已经过期,需要重新获取一个新的token;2、检查token的签名,如果签名不正确,需要重新获取一个新的token;3、检查密钥的正确性,如果密钥不正确,需要重新获取一个新的token;4、使用HTTPS协议传输token,建议使用HTTPS协议进行传输 ;5、使用双因素认证,双因素认证可以提高账户的安全性。

6400

2023.09.14

登录token无效怎么办
登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容,供大家免费下载体验。

836

2023.09.14

token怎么获取
token怎么获取

获取token值的方法:1、小程序调用“wx.login()”获取 临时登录凭证code,并回传到开发者服务器;2、开发者服务器以code换取,用户唯一标识openid和会话密钥“session_key”。想了解更详细的内容,可以阅读本专题下面的文章。

1086

2023.12.21

token什么意思
token什么意思

token是一种用于表示用户权限、记录交易信息、支付虚拟货币的数字货币。可以用来在特定的网络上进行交易,用来购买或出售特定的虚拟货币,也可以用来支付特定的服务费用。想了解更多token什么意思的相关内容可以访问本专题下面的文章。

1635

2024.03.01

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

660

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
PostgreSQL 教程
PostgreSQL 教程

共48课时 | 9.3万人学习

Git 教程
Git 教程

共21课时 | 3.7万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号