这是本节的多页打印视图。
点击此处打印.
返回本页常规视图.
管理引导令牌。
概要
此命令管理引导令牌(bootstrap token)。它是可选的,仅适用于高级用例。
简而言之,引导令牌(Bootstrap Token)用于在客户端和服务器之间建立双向信任。
当客户端(例如,即将加入集群的节点)需要信任所通信的服务器时,可以使用引导令牌。
这时可以使用具有 “signing” 用途的引导令牌。引导令牌还可以作为一种允许对 API
服务器进行短期身份验证的方法(令牌用作 API 服务器信任客户端的方式),例如用于执行 TLS 引导程序。
引导令牌准确来说是什么?
- 它是位于 kube-system 命名空间中类型为 “bootstrap.kubernetes.io/token” 的一个 Secret。
- 引导令牌的格式必须为 “[a-z0-9]{6}.[a-z0-9]{16}”,前一部分是公共令牌 ID,而后者是令牌秘钥,必须在任何情况下都保密!
- 必须将 Secret 的名称命名为 “bootstrap-token-(token-id)”。
你可以在此处阅读有关引导令牌(bootstrap token)的更多信息:
https://kubernetes.io/zh-cn/docs/admin/bootstrap-tokens/
kubeadm token [flags]
选项
| --dry-run |
| 是否启用 `dry-run` 模式。 |
| -h, --help |
| token 操作的帮助命令。 |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 与集群通信时使用的 kubeconfig 文件。如果未设置,则搜索一组标准位置以查找现有 kubeconfig 文件。 |
从父命令继承的选项
| --rootfs string |
| 到“真实”主机根文件系统的路径。这将导致 kubeadm 切换到所提供的路径。 |
1 -
在服务器上创建引导令牌。
概要
这个命令将为你创建一个引导令牌。
你可以设置此令牌的用途,"有效时间" 和可选的人性化的描述。
这里的 [token] 是指将要生成的实际令牌。
该令牌应该是一个通过安全机制生成的随机令牌,形式为 "[a-z0-9]{6}.[a-z0-9]{16}"。
如果没有给出 [token],kubeadm 将生成一个随机令牌。
kubeadm token create [token]
选项
| --certificate-key string |
| 当与 “--print-join-command” 一起使用时,打印作为控制平面加入集群时所需的所有 “kubeadm join” 标志。
要创建新的证书密钥,你必须使用 “kubeadm init phase upload-certs --upload-certs”。 |
| --config string |
| kubeadm 配置文件的路径。 |
| --description string |
| 针对令牌用途的人性化的描述。 |
--groups stringSlice 默认值:[system:bootstrappers:kubeadm:default-node-token] |
| 此令牌用于身份验证时将对其他组进行身份验证。必须匹配 "\\Asystem:bootstrappers:[a-z0-9:-]{0,255}[a-z0-9]\\z" |
| -h, --help |
| create 操作的帮助命令。 |
| --print-join-command |
| 不仅仅打印令牌,而是打印使用令牌加入集群所需的完整 'kubeadm join' 参数。 |
| --ttl duration 默认值:24h0m0s |
| 令牌有效时间,超过该时间令牌被自动删除。(例如:1s, 2m, 3h)。如果设置为 '0',令牌将永远不过期。 |
| --usages stringSlice 默认值:[signing,authentication] |
| 描述可以使用此令牌的方式。你可以多次使用 `--usages` 或者提供一个以逗号分隔的选项列表。
合法选项有:[signing,authentication] |
从父命令继承的选项
| --dry-run |
| 是否启用 `dry-run` 运行模式。 |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
| --rootfs string |
| 到“真实”主机根文件系统的路径。这将导致 kubeadm 切换到所提供的路径。 |
2 -
删除服务器上的引导令牌。
概要
这个命令将为你删除指定的引导令牌列表。
[token-value] 是要删除的 "[a-z0-9]{6}.[a-z0-9]{16}" 形式的完整令牌或者是 "[a-z0-9]{6}" 形式的令牌 ID。
kubeadm token delete [token-value] ...
选项
| -h, --help |
| delete 操作的帮助命令。 |
从父命令继承的选项
| --dry-run |
| 是否启用 `dry-run` 运行模式。 |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
| --rootfs string |
| 到“真实”主机根文件系统的路径。这将导致 kubeadm 切换到所提供的路径。 |
3 -
生成并打印一个引导令牌,但不要在服务器上创建它。
概要
此命令将打印一个随机生成的可以被 "init" 和 "join" 命令使用的引导令牌。
你不必使用此命令来生成令牌。你可以自己设定,只要格式符合 "[a-z0-9]{6}.[a-z0-9]{16}"。
之所以提供这个命令是为了方便生成规定格式的令牌。
你也可以使用 "kubeadm init" 并且不指定令牌,该命令会生成一个令牌并打印出来。
kubeadm token generate [flags]
选项
| -h, --help |
| generate 操作的帮助命令。 |
从父命令继承的选项
| --dry-run |
| 是否启用 `dry-run` 模式。 |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
| --rootfs string |
| 到“真实”主机根文件系统的路径。这将导致 kubeadm 切换到所提供的路径。 |
4 -
列出服务器上的引导令牌。
概要
此命令将为你列出所有的引导令牌。
kubeadm token list [flags]
选项
| --allow-missing-template-keys 默认值:true |
| 如果设置为 true,则在模板中缺少字段或哈希表的键时忽略模板中的任何错误。
仅适用于 golang 和 jsonpath 输出格式。 |
| -o, --experimental-output string 默认值:"text" |
| 输出格式:text|json|yaml|go-template|go-template-file|template|templatefile|jsonpath|jsonpath-as-json|jsonpath-file 其中之一 |
| -h, --help |
| list 操作的帮助命令。 |
| --show-managed-fields |
| 如果为 true,则在以 JSON 或 YAML 格式打印对象时保留 managedFields。 |
从父命令继承的选项
| --dry-run |
| 是否启用 `dry-run` 模式。 |
| --kubeconfig string 默认值:"/etc/kubernetes/admin.conf" |
| 用于和集群通信的 kubeconfig 文件。如果它没有被设置,那么 kubeadm 将会搜索一个已经存在于标准路径的 kubeconfig 文件。 |
| --rootfs string |
| 到“真实”主机根文件系统的路径。这将导致 kubeadm 切换到所提供的路径。 |