Cet article a participé à l'événement "Newcomer Creation Ceremony" pour commencer ensemble la route de la création d'or.
K8S exécute généralement l'instruction suivante pour initialiser :
kubeadm init --config=kubeadm_config.yml --upload-certs
或者:
kubeadm init --config kubeadm.yaml
这两条语句的区别就是 第一条生成带certificate key 用来增加master节点的join操作
后一条就只生成了join work节点的从左。
复制代码Une fois le cluster initial réussi, kubeadm renverra la commande join. Il y a des paramètres tels que token, discovery-token-ca-cert-hash, etc., qui doivent être écrits.
token et discovery-token-ca-cert-hash peuvent être interrogés avec la commande suivante "
- Exécutez la liste de jetons kubeadm sur le nœud maître pour obtenir le jeton (faites attention à ce qu'il ait expiré)
kubeadm token list
TOKEN TTL EXPIRES USAGES DESCRIPTION EXTRA GROUPS
47gqgy.6s6ixpaji7uvyexs 23h 2021-09-16T15:19:24+08:00 authentication,signing <none> system:bootstrappers:kubeadm:default-node-token
abcdef.0123456789abcdef 20h 2021-09-16T11:33:48+08:00 authentication,signing <none> system:bootstrappers:kubeadm:default-node-token
tih0zc.wya6ql0z8cu0o37g 1h 2021-09-15T17:17:10+08:00 <none> Proxy for managing TTL for the kubeadm-certs secret <none>
复制代码- S'il n'y a pas de valeur --discovery-token-ca-cert-hash, obtenez-la avec la commande suivante
openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'
d51efc3d524678c821fe1ca33e447b0b904b1dede6d7b1e203c7e045abe410dd
复制代码Il est également possible de régénérer :
-
Exécutez kubeadm token create --print-join-command pour régénérer la commande join afin de rejoindre le nœud de travail
kubeadm token create --print-join-command
W0915 15:19:24.536673 9028 configset.go:348] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
kubeadm join 10.132.24.99:6443 --token 47gqgy.6s6ssxpaji7uvyexs --discovery-token-ca-cert-hash sha256:d51efc3d524678c821fsssca33e447b0b904b1dede6d7b1e203c7e045abe410dd
复制代码Si vous devez ajouter un nœud maître, vous devez
- Utilisez kubeadm init phase upload-certs --upload-certs pour régénérer la clé de certificat (notez que l'ancienne version doit être générée avec kubeadm init phase upload-certs --experimental-upload-certs)
kubeadm init phase upload-certs --upload-certs
I0915 15:17:08.073342 7441 version.go:252] remote version is much newer: v1.22.1; falling back to: stable-1.19
W0915 15:17:10.611539 7441 configset.go:348] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
[upload-certs] Storing the certificates in Secret "kubeadm-certs" in the "kube-system" Namespace
[upload-certs] Using certificate key:
6d7089e97b8c96ac7ad478173c7928e5becdf1faed85ccd2d4654b8dc514fc32
复制代码Ajoutez ensuite le nœud maître : utilisez la commande work join générée ci-dessus et la valeur --certificate-key générée ultérieurement pour exécuter
kubeadm join 10.136.17.12:6443 --token abcdef.0123456789abcdef \
--discovery-token-ca-cert-hash sha256:2fbacdf6a9473d5da1d98900f73cxxx772b12ac99017d6ae756d8c3cc \
--control-plane --certificate-key f0725584c26c192478d266c4dc5804a1ss5d7b40257837eea0676d1972cca
复制代码faire référence à