关于k8s-master节点的token过期后的处理方法-让新node节点加入的方法

Posted 2023-05-17

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了关于k8s-master节点的token过期后的处理方法-让新node节点加入的方法相关的知识，希望对你有一定的参考价值。

在前面的文章《关于忘记kubernetes-master节点的token以及让新node节点加入k8s集群的命令的处理方法》中只是讲述的token忘记的处理方法

但是如果token已经过期了（默认情况下，token的有效期为24小时）、该如何处理呢、

首先我们记几个前置的命令，第一个是我们可以通过 kubeadm token list 列出当前master节点上的所有token

如果通过TTL字段，发现已经过期了，我们就需要重新创建token了，创建方法如下：

[root@k8s-master qq-5201351]# kubeadm token create --print-join-command
kubeadm join 192.18.106.87:6443 --token 07euo7.dtm2z91y074l7wt0 --discovery-token-ca-cert-hash sha256:be3dee634e545f82c7b17b43042895a332e08ffff4af41b175262831f5958c1b

如果不加上--print-join-command，就只会输出TOKEN值，得自己去生成join的命令

注意：通过上面的方式默认创建的token的TLL默认也只有24H小时，我们还可以加上如下的选项，创建永久有效 Token

kubeadm token create --ttl 0 --print-join-command

但是对于生产环境的安全角度来说，还是不推荐这样去做，这里仅作为一个知识点了解即可

还有几条可能会用到的命令，如下

1、删除某个Token, 可以用于清理过期的Token

kubeadm token delete <Token值>

kubeadm token delete 7j3pq1.giswuuqjzotojrw0

其他说明：我们也可以同时创建多个Token，只要没有过期，多个worker node 节点可以使用不同的Token 进行join加入都是可以的

尊重别人的劳动成果转载请务必注明出处：https://www.cnblogs.com/5201351/p/17406868.html

JWT - 第二次刷新后的 TOKEN_EXPIRED

【中文标题】JWT - 第二次刷新后的 TOKEN_EXPIRED【英文标题】：JWT - TOKEN_EXPIRED after second refresh 【发布时间】：2019-06-17 01:45:33 【问题描述】：

我正在使用 laravel 和 tymon/jwt-auth 开发一个 API 服务器。在测试环境中 TTL - 1 分钟，TTL_REFRESH - 2 分钟。不明白以下算法是如何工作的：

TOKEN_EXPIRED

如果在第 1 步和第 2 步之后尝试使用未过期的 TTL 刷新令牌，则会刷新令牌。但是如果我们在过期后刷新一次，第二次（带有过期令牌）服务器将发送到客户端TOKEN_EXPIRED。

我的问题是为什么在 TTL 过期的第二次令牌更新后，服务器不刷新令牌而是发送TOKEN_EXPIRED？

【问题讨论】：

【参考方案1】：

我认为刷新令牌在第一次使用后已经失效

您必须使用新的刷新令牌来刷新您的 jwt 令牌并获取新的

【讨论】：

我只有一个令牌，没有 jwt-auth 提供的刷新令牌。当我刷新它时，我只是向服务器发送一个带有authorization: Bearer *token* 标头的请求。你必须有刷新令牌才能刷新 jwt 令牌，我建议你阅读这个基于 slim php 框架的文档：oauth2.thephpleague.com

以上是关于关于k8s-master节点的token过期后的处理方法-让新node节点加入的方法的主要内容，如果未能解决你的问题，请参考以下文章

kubeadm 生成的token过期后，集群增加节点

JWT - 第二次刷新后的 TOKEN_EXPIRED

如何使节点 js 中的 jwt 过期？

关于Jwt的一些思考

access token已过期

令牌过期后的Android Facebook登录