在你希望加入现有集群的任何机器上运行它。
摘要
当节点加入 kubeadm 初始化的集群时,我们需要建立双向信任。 这个过程可以分解为发现(让待加入节点信任 Kubernetes 控制平面节点)和 TLS 引导(让 Kubernetes 控制平面节点信任待加入节点)两个部分。
有两种主要的发现方案。
第一种方案是使用共享令牌和 API 服务器的 IP 地址。
第二种是以文件形式提供标准 kubeconfig 文件的一个子集。
发现/kubeconfig 文件支持令牌、client-go 鉴权插件(“exec”)、“tokenFile" 和
"authProvider"。该文件可以是本地文件,也可以通过 HTTPS URL 下载。
格式是 kubeadm join --discovery-token abcdef.1234567890abcdef 1.2.3.4:6443
、
kubeadm join --discovery-file path/to/file.conf
或者
kubeadm join --discovery-file https://url/file.conf
。
只能使用其中一种。
如果发现信息是从 URL 加载的,必须使用 HTTPS。
此外,在这种情况下,主机安装的 CA 包用于验证连接。
如果使用共享令牌进行发现,还应该传递 --discovery-token-ca-cert-hash 参数来验证 Kubernetes 控制平面节点提供的根证书颁发机构(CA)的公钥。 此参数的值指定为 "<hash-type>:<hex-encoded-value>", 其中支持的哈希类型为 "sha256"。哈希是通过 Subject Public Key Info(SPKI)对象的字节计算的(如 RFC7469)。 这个值可以从 "kubeadm init" 的输出中获得,或者可以使用标准工具进行计算。 可以多次重复 --discovery-token-ca-cert-hash 参数以允许多个公钥。
如果无法提前知道 CA 公钥哈希,则可以通过 --discovery-token-unsafe-skip-ca-verification 参数禁用此验证。 这削弱了 kubeadm 安全模型,因为其他节点可能会模仿 Kubernetes 控制平面节点。
TLS 引导机制也通过共享令牌驱动。 这用于向 Kubernetes 控制平面节点进行临时的身份验证,以提交本地创建的密钥对的证书签名请求(CSR)。 默认情况下,kubeadm 将设置 Kubernetes 控制平面节点自动批准这些签名请求。 这个令牌通过 --tls-bootstrap-token abcdef.1234567890abcdef 参数传入。
通常两个部分会使用相同的令牌。 在这种情况下可以使用 --token 参数,而不是单独指定每个令牌。
"join [api-server-endpoint]" 命令执行下列阶段:
- preflight:运行接入前检查
- control-plane-prepare:准备用作控制平面的机器
- download-certs:[实验] 从 kubeadm-certs Secret 下载控制平面节点之间共享的证书
- certs:为新的控制平面组件生成证书
- kubeconfig:为新的控制平面组件生成 kubeconfig
- control-plane:生成新控制平面组件的清单
- kubelet-start:写入 kubelet 设置、证书并(重新)启动 kubelet
- control-plane-join:将机器加入为控制平面实例
- etcd:添加新的本地 etcd 成员
- update-status:将新的控制平面节点注册到 kubeadm-config ConfigMap 中维护的 ClusterStatus 中(已弃用)
- mark-control-plane:将节点标记为控制平面
- wait-control-plane:[实验] 等待控制平面启动
kubeadm join [api-server-endpoint] [flags]
选项
--apiserver-advertise-address string | |
如果该节点托管一个新的控制平面实例,则 API 服务器将公布其正在侦听的 IP 地址。如果未设置,则使用默认网络接口。 | |
--apiserver-bind-port int32 默认值: 6443 | |
如果节点应该托管新的控制平面实例,则为 API 服务器要绑定的端口。 | |
--certificate-key string | |
使用此密钥可以解密由 init 上传的证书 Secret。 证书密钥为一个十六进制编码的字符串,它是大小为 32 字节的 AES 密钥。 | |
--config string | |
kubeadm 配置文件的路径。 | |
--control-plane | |
在此节点上创建一个新的控制平面实例。 | |
--cri-socket string | |
要连接的 CRI 套接字的路径。如果为空,则 kubeadm 将尝试自动检测此值; 仅当安装了多个 CRI 或存在非标准的 CRI 套接字时,才使用此选项。 | |
--discovery-file string | |
对于基于文件的发现,给出用于加载集群信息的文件或者 URL。 | |
--discovery-token string | |
对于基于令牌的发现,该令牌用于验证从 API 服务器获取的集群信息。 | |
--discovery-token-ca-cert-hash stringSlice | |
对基于令牌的发现,验证根 CA 公钥是否与此哈希匹配 (格式:"<type>:<value>")。 | |
--discovery-token-unsafe-skip-ca-verification | |
对于基于令牌的发现,允许在未关联 --discovery-token-ca-cert-hash 参数的情况下添加节点。 | |
--dry-run | |
不做任何更改;只输出将要执行的操作。 | |
-h, --help | |
join 操作的帮助命令。 | |
--ignore-preflight-errors strings | |
错误将显示为警告的检查列表;例如:'IsPrivilegedUser,Swap'。取值为 'all' 时将忽略检查中的所有错误。 | |
--node-name string | |
指定节点的名称。 | |
--patches string | |
包含名为 "target[suffix][+patchtype].extension" 的文件的目录的路径。 例如,"kube-apiserver0+merge.yaml" 或仅仅是 "etcd.json"。 "target" 可以是 “kube-apiserver”、“kube-controller-manager”、“kube-scheduler”、“etcd”、“kubeletconfiguration” 之一, "patchtype" 可以是 "strategic"、"merge" 或 "json" 之一,并且它们与 kubectl 支持的补丁格式匹配。 默认的 "patchtype" 为 "strategic"。 "extension" 必须为 "json" 或 "yaml"。 "suffix" 是一个可选字符串,可用于确定首先按字母顺序应用哪些补丁。 | |
--skip-phases strings | |
要跳过的阶段列表。 | |
--tls-bootstrap-token string | |
指定在加入节点时用于临时通过 Kubernetes 控制平面进行身份验证的令牌。 | |
--token string | |
如果未提供这些值,则将它们用于 discovery-token 令牌和 tls-bootstrap 令牌。 |
从父命令继承的选项
--rootfs string | |
[实验] 指向 '真实' 宿主机根文件系统的路径。 |
最后修改 August 23, 2024 at 9:50 AM PST: [zh] Sync kubeadm-join-phase.md and its dependent files (bb4bcafa7b)