signature=a24d396d1918ff066e8922b1ceea9cb0,解决k8s执行kubeadm join遇到could not find a JWS signature的问题...
一. 问题描述
当使用 kubectl join 的共享令牌方式往Kubernetes集群添加worker节点, 如果遇到以下异常 (比如我们想把 ttg13 节点加入当前只有一个单master节点 ttg12 的集群中):
$ sudo kubeadm join ttg12:6443 --token lbe5im.g79f9kxyyxdf2c9s --discovery-token-ca-cert-hash sha256:e4509816d73510fd6e008eba43d11b5807cd3de9f562dacd0dd2582c74eecafc
# === 以下为输出 ===
W0706 18:56:04.310137 21432 join.go:346] [preflight] WARNING: JoinControlPane.controlPlane settings will be ignored when control-plane flag is not set.
[preflight] Running pre-flight checks
[WARNING IsDockerSystemdCheck]: detected "cgroupfs" as the Docker cgroup driver. The recommended driver is "systemd". Please follow the guide at https://kubernetes.io/docs/setup/cri/
error execution phase preflight: couldn't validate the identity of the API Server: could not find a JWS signature in the cluster-info ConfigMap for token ID "lbe5im"
To see the stack trace of this error execute with --v=5 or higher
这个问题是在kube-public下的 configmap 的 cluster-info 中没有JWS签名, 本质上是 token 过期.
可以通过 kube config 命令查看 cluster-info 的内容:
kubectl get configmap cluster-info --namespace=kube-public -o yaml
当然也可以通过 Dashboard 查看 cluster-info (注意下图为正常情况, 异常时没有 jws-kubeconfig-xxxxx 这一行):
当然我们也可以通过 token list 直接查看当前有效的令牌:
$ kubeadm token list
# 此处没有任何输出, 表明没有存活的token
二. 解决问题
那么如何解决呢? 我们 kubectl join 的时候, 需要2个参数: token 和 discovery-token-ca-cert-hash. 那么解决方案就是重新生成 token 和 discovery-token-ca-cert-hash.
2.1 生成token
首先我们通过以下命令生成一个新的 token:
$ kubeadm token create --ttl 0
# === 以下为输出 ===
W0706 19:02:57.015210 11101 configset.go:202] WARNING: kubeadm cannot validate component configs for API groups [kubelet.config.k8s.io kubeproxy.config.k8s.io]
y5i7zk.77go3qfvy3om7rkw
也可以通过以下命令查看生成的token:
$ kubeadm token list
TOKEN TTL EXPIRES USAGES DESCRIPTION EXTRA GROUPS
y5i7zk.77go3qfvy3om7rkw authentication,signing system:bootstrappers:kubeadm:default-node-token
2.2 生成证书摘要
然后再重新生成证书签名摘要(或者说hash), 当然这个值(只要证书不变)是不变的, 跟我们在首次安装 kubeadm init 的时候生成的 hash 是一样的:
$ openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'
# === 以下为输出 ===
e4509816d73510fd6e008eba43d11b5807cd3de9f562dacd0dd2582c74eecafc
最后我们用上面生成的 token 和 hash 再来 join 一下:
$ sudo kubeadm join ttg12:6443 --token y5i7zk.77go3qfvy3om7rkw --discovery-token-ca-cert-hash sha256:e4509816d73510fd6e008eba43d22b5807cd3de9f562dacd0dd2582c74eecafc
# === 以下为输出 ===
W0706 19:05:40.756837 22879 join.go:346] [preflight] WARNING: JoinControlPane.controlPlane settings will be ignored when control-plane flag is not set.
[preflight] Running pre-flight checks
[WARNING IsDockerSystemdCheck]: detected "cgroupfs" as the Docker cgroup driver. The recommended driver is "systemd". Please follow the guide at https://kubernetes.io/docs/setup/cri/
[preflight] Reading configuration from the cluster...
[preflight] FYI: You can look at this config file with 'kubectl -n kube-system get cm kubeadm-config -oyaml'
[kubelet-start] Downloading configuration for the kubelet from the "kubelet-config-1.18" ConfigMap in the kube-system namespace
[kubelet-start] Writing kubelet configuration to file "/var/lib/kubelet/config.yaml"
[kubelet-start] Writing kubelet environment file with flags to file "/var/lib/kubelet/kubeadm-flags.env"
[kubelet-start] Starting the kubelet
[kubelet-start] Waiting for the kubelet to perform the TLS Bootstrap...
This node has joined the cluster:
* Certificate signing request was sent to apiserver and a response was received.
* The Kubelet was informed of the new secure connection details.
Run 'kubectl get nodes' on the control-plane to see this node join the cluster.
2.3 合二为一
以上生成 token 和 hash 可以在生成token的时候加上 --print-join-command 直接打印出来. 毕竟生成 token 就是用来添加节点用的.
# 在 master 节点执行
kubeadm token create --print-join-command --ttl=0
其中 --ttl=0 表示生成的 token 永不失效. 如果不带 --ttl 参数, 那么默认有效时间为24小时. 在24小时内, 可以无数量限制添加 worker.
三. 验证解决
最后在 master 节点上通过 kubectl get nodes 确认新节点 ttg13 加入成功:
$ kubectl get nodes
NAME STATUS ROLES AGE VERSION
ttg12 Ready master 3d3h v1.18.5
ttg13 Ready 20m v1.18.5
Bingo!
四. 参考
更多关于kubeadm join的资料可参考官方文档.
signature=a24d396d1918ff066e8922b1ceea9cb0,解决k8s执行kubeadm join遇到could not find a JWS signature的问题...相关推荐
- k8s执行 kubeadm join token id i6q6rl is invalid for this cluster or it has expired.
执行 kubeadm join 192.168.86.132:6443 --token i6q6rl.vwnm24msoi3wn2bu --discovery-token-ca-cert-hash s ...
- k8s 学习 kubeadm join 超时报错 : error uploading crisocket
准备搭建一套k8s的集群2288HV5的npu,.master已经搭建好了. [环境信息] k8s:1.17.3 ubuntu:18.04 arch:x86 docker:18.06.3-ce [操作 ...
- 【云原生之k8s】kubeadm搭建k8s集群
[云原生之k8s]kubeadm搭建k8s集群 前言 一.集群介绍 (1)集群搭建方法 (2)集群架构 二.集群部署 (1)环境部署 ①所有节点,关闭防火墙规则,关闭selinux,关闭swap交换 ...
- 【云原生-K8s】kubeadm搭建k8s集群
搭建K8s集群[无需科学上网] 官网:https://kubernetes.io/docs/setup/production-environment/tools/kubeadm/install-kub ...
- kubeadm join时出现错误:[ERROR Port-10250]: Port 10250 is in use [ERROR FileAvailable--etc-kubernetes-pki
kubeadm join时出现错误:[ERROR Port-10250]: Port 10250 is in use:[ERROR FileAvailable--etc-kubernetes-pki- ...
- kubeadm工作原理-kubeadm init原理分析-kubeadm join原理分析
kubeadm概述 kubeadm是社区维护的Kubernetes集群一键部署利器,使用两条命令即可完成k8s集群中master节点以及node节点的部署,其底层原理是利用了k8s TLS boots ...
- 【云原生-K8s】kubeadm搭建安装k8s集群v1.25版本完整教程【docker、网络插件calico、中间层cri-docker】
前言 基础描述 从 k8s 1.24开始,dockershim已经从kubelet中移除,但因为历史问题docker却不支持kubernetes主推的CRI(容器运行时接口)标准,所以docker不能 ...
- kubeadm join 添加节点 报错
背景信息: 测试环境,目前有2个节点,想部署一个rook-ceph集群,想着再新增一个节点.由于好长时间没动过这个环境,忘记添加节点的命令了,采取查看其它节点的历史命令,找出添加节点的命令.找到后,在 ...
- kubeadm join时报错Unauthorized
如图: [root@node1 ~]# kubeadm join 172.31.17.51:6443 --token le4vib.zn8g056y1spx24a1 --discovery- ...
最新文章
- mfc 资源视图无法打开RC2104
- 以往计算机二级c语言填空题,计算机二级C语言考试填空题精选4
- 【数据分析】近10年学术论文的数据分析!
- Struts2 缺少包
- 前端学习(2329):angular之路由
- C# 基础知识复习(四)---数组
- 最小花费(信息学奥赛一本通-T1344)
- 奇安信代码安全实验室帮助谷歌修复 Chrome 沙箱外高危漏洞,获官方致谢
- java反射创建带参数对象_反射 Java反射对象创建 - 闪电教程JSRUN
- Twitter数据抓取的方法(一)
- linux malloc 内存不足,linux中 对malloc/free分配及释放内存空间时发生的泄漏问题
- 2020年中国网络安全产业白皮书分析解读
- Docfetcher
- Computer programming and database - 方方面面入门
- 普及练习场 深度优先搜索 八皇后
- mip-html自动跳转页面,MIP建站系统常见问题汇总
- python 战舰_Python战舰:获取用户输入的他们想要多少艘战舰
- 整理: 显示面板行业英文简称解析
- 变量相关性分析(决策变量和目标函数之间的关系-决策变量可加可分离性)
- 网络唤醒的原理原来是这样的,GET!
热门文章
- 幼儿园计算机课件制作评比表,幼儿园多媒体课件的设计、制作与评价.ppt
- 解决SQL Server 2000安装文件挂起
- 跨站脚本攻击—XSS
- android自定义计步器形状,Android自定义view-QQ计步器效果
- unity 读取灰度图生成按高程分层设色地形模型
- osgEarth根据DEM地形的高程设置不同的颜色
- FreeModbus读/写寄存器小Bug
- 网站免责声明分享 -给网站一份安全保障
- windows 映射samba Linux服务器,可以访问文件但是没有写权限
- mysql pushdown_MySQL 5.6 中一个重要的优化——Index Condition Pushdown,究竟push down了什么...