Kubeadm: 조인 토큰의 사용성 향상

에 만든 2017년 11월 04일 · 22코멘트 · 출처: kubernetes/kubeadm

/종류 기능
@kubernetes/sig-cli
무슨 일이 있었는지 :
kubeadm에서 원본 joun 문자열 출력이 없는 경우 새 시스템을 추가하는 것이 그렇게 쉽지 않은 경우를 발견했습니다. "전체 조인 명령을 생성하는 방법이 있습니까? 매직 문자열에 "도달"할 수 있으려면 전체 클러스터를 재설정해야 하는 것 같습니다. " (c) @alexellis

예상했던 일 :
마찬가지로 Docker Swarm에서 항상 마스터에게 복사 붙여넣기 가능한 조인 문자열을 인쇄하여 추가하거나 동화하도록 지시할 수 있습니다. 더 많은 기계.

예시 입력:

kubeadm token string

출력 예:

kubeadm join --token TOK MASTER_IP:6443 --discovery-token-ca-cert-hash sha256:HASH

우리가 알아야 할 다른 것이 있습니까? :
당신은 굉장하다!

(후속 조치: https://github.com/kubernetes/kubernetes/pull/41663)
@luxas @mattmoyer @jamiehannaford

areUX prioritimportant-soon

출처

synergiator

👍5

가장 유용한 댓글

@zcalusic 현재 방법은 다음과 같이 OpenSSL을 사용하여 해시를 계산하는 것입니다(마스터 또는 /etc/kubernetes/pki/ca.crt 사본이 있는 모든 곳에서 실행).

openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'

mattmoyer 에 2017년 11월 09일

👍14 🎉1

모든 22 댓글

이와 같은 것에 +1.

이 아이디어에 대한 몇 가지 리프:

현재 CA 해시를 출력하는 새로운 kubeadm ca-cert-hash 명령(이름은 미정)입니다. 이것은 기본적으로 kubeadm join 문서 에서 제공하는 openssl 명령과 동일합니다.

kubeadm init 와 마찬가지로 전체 조인 명령을 출력하는 kubeadm token create 대한 --print-join-command 플래그를 추가합니다. 이렇게 하면 프로비저닝 중에 kubeadm token create --print-join-command >> worker_init.sh 와 같은 항목을 실행하여 쉽게 자동화할 수 있습니다.
--print-join-command 플래그가 있는 ID가 주어지면 전체 토큰을 가져오는 새로운 명령 kubeadm token get <token id> 은 토큰 대신 전체 결합 명령을 선택적으로 인쇄합니다.

mattmoyer 에 2017년 11월 08일

👍6

태그해주셔서 감사합니다. Docker Swarm의 UX에서 메모하세요. 언제든지 docker swarm join-token worker 를 입력하고 작업자에 붙여넣거나 SSH를 통해 전송하는 명령을 사용할 수 있습니다. Kubeadm을 사용하면 새 노드를 추가하기 위해 말 그대로 클러스터를 분해하는 것이 너무 어렵습니다. CLI에 대해 매우 자신이 있으므로 저만 그런 것이 아니라고 확신합니다.

alexellis 에 2017년 11월 08일

👍5

또한 init 출력이 너무 무거워서 실제로 조인 명령을 가져와 어딘가에 숨길 수 없습니다... 현재 저는 kubeadm init ... | grep 'kubeadm join --token' > /some_file 의존하고 있습니다.
stdout의 유일한 것이 join 명령인 자동 모드를 사용하는 것이 좋습니다.

cpuguy83 에 2017년 11월 08일

어쨌든, 지금 그 ca-cert-hash를 얻는 방법은 무엇입니까? 물론 kubeadm init 출력은 이 시점에서 사라진 지 오래입니다... 그리고 나중에 요청 시 해당 정보를 쉽게 추출할 수 있을 것으로 기대하고 저장하지 않았습니다.

내가 가진 토큰에 가입 얻을 수 있었다 kubeadm token list 와 또 다른 노드에 합류 kubeadm join --token ,하지만 말하고있다 :

[validation] WARNING: using token-based discovery without DiscoveryTokenCACertHashes can be unsafe (see https://kubernetes.io/docs/admin/kubeadm/#kubeadm-join).
[validation] WARNING: Pass --discovery-token-unsafe-skip-ca-verification to disable this warning. This warning will become an error in Kubernetes 1.9.

따라서 오류가 발생하기 전에 해당 매개변수를 어떻게 전달합니까? 도움을 주셔서 감사합니다!

zcalusic 에 2017년 11월 09일

@zcalusic 현재 방법은 다음과 같이 OpenSSL을 사용하여 해시를 계산하는 것입니다(마스터 또는 /etc/kubernetes/pki/ca.crt 사본이 있는 모든 곳에서 실행).

openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'

mattmoyer 에 2017년 11월 09일

👍14 🎉1

힌트를 주신 @mattmoyer 에게 감사드립니다. 귀하의 oneliner는 완벽하게 작동했습니다.

물론 --print-join-command 가 훨씬 더 나은 사용자 경험이 될 것이라는 데 동의해야 합니다.

zcalusic 에 2017년 11월 09일

👍9

--print-join-command 동의

wackxu 에 2017년 11월 10일

👍9

우리는 SIG 회의에서 https://github.com/kubernetes/kubernetes/pull/55468 _및_ 이 기능 추가를 모두 진행할 것이라고 결론지었습니다.
우리는 조금 후에 정확히 어떤 형태인지 볼 것입니다

luxas 에 2017년 11월 14일

이것은 2017년 11월 21일 줌 콜에서 논의되었습니다. 해당 통화 시간은 https://docs.google.com/document/d/1deJYPIF4LmhGjDVaqrswErIrV7mtwJgovtLnPCDxP7U/edit#에 있습니다.

vielmetti 에 2017년 11월 21일

어제 이것에 대해 간단히 살펴보았지만 아직 작동하지 않았습니다. :)

kubeadm init와 마찬가지로 전체 조인 명령을 출력하는 kubeadm 토큰 생성에 --print-join-command 플래그를 추가합니다. 이렇게 하면 프로비저닝 중에 kubeadm token create --print-join-command >> worker_init.sh와 같은 것을 실행하여 쉽게 자동화할 수 있습니다.

이것을 선호한다면 bootstrap token create 에 이미 동일한 논리가 있다고 생각합니다. 여기에서 사용할 수 있습니다.

새로운 명령 kubeadm 토큰 가져오기--print-join-command 플래그를 사용하여 ID가 제공된 전체 토큰을 가져옵니다. 선택적으로 토큰 대신 전체 조인 명령을 인쇄합니다.

저는 개인적으로 이쪽을 선호합니다. 그러나 두 아이디어 모두 구현할 때 더 많은 컨텍스트가 필요한 것처럼 보입니다. 예를 들어 apiserver 광고 주소를 얻으려면 MasterConfiguration이 필요합니다. 현재 token create 에는 구성이 없습니다.

업데이트: 두 가지 아이디어를 모두 구현할 수 있을까요? @luxas @mattmoyer

xiangpengzhao 에 2017년 11월 21일

👍1

https://github.com/kubernetes/kubernetes/pull/56185 에서 첫 번째 아이디어를 구현했습니다 kubeadm get 아이디어를 구현하는 데도 반대하지 않지만 시간이 부족합니다.

mattmoyer 에 2017년 11월 22일

새로운 kubeadm get 를 생성하는 대신, 이미 존재하는 kubeadm token list 의 끝에 해시/kubeadm 조인 문을 인쇄해야 합니다.

fabriziopandini 에 2017년 11월 22일

kubeadm token list --print-join-command 이 좋을 것 같아요!

luxas 에 2017년 11월 22일

나는 그 아이디어를 좋아한다 @luxas. 덜 장황하게 만들 수 있다고 생각합니다. docker CLI에 비해 매우 긴 플래그 kubeadm 를 입력하고 있습니다.

kubeadm token list --verbose

kubeadm token list --tokens

kubeadm token list --join-token

alexellis 에 2017년 11월 22일

kubeadm token list --verbose|-v 저에게 효과적입니다.

luxas 에 2017년 11월 22일

이봐, 끝났어?
내 클러스터의 새 노드에 가입하기 위한 토큰을 얻으려면 어떻게 해야 합니까?

tzurE 에 2017년 12월 11일

@tzurE 병합되었지만 아직 출시되지 않았으며 이번 주 후반에 출시될 예정인 Kubernetes 1.9의 일부가 될 것입니다.

새 기능을 사용하면 이 명령을 실행하여 노드를 연결할 수 있습니다.

# on a master node (or any node with admin access to your cluster)
$ kubeadm token create --print-join-command
kubeadm join --token 447067.20b55955bd6abe6c 192.168.99.100:8443 --discovery-token-ca-cert-hash sha256:17023a5c90b996e50c514e63e161e46f78be216fd48c0c3df3be67e008b28889

# on the new node (copy-pasted from the output above)
$ kubeadm join --token 447067.20b55955bd6abe6c 192.168.99.100:8443 --discovery-token-ca-cert-hash sha256:17023a5c90b996e50c514e63e161e46f78be216fd48c0c3df3be67e008b28889

mattmoyer 에 2017년 12월 11일

👍4 ❤3

좋아요, 감사합니다.
그 동안 해결책이 있습니까? 일반 명령을 사용하지 않고 추출하는 방법은 무엇입니까?

tzurE 에 2017년 12월 11일

@tzurE 이 댓글 보기: https://github.com/kubernetes/kubeadm/issues/519#issuecomment -343192126

mattmoyer 에 2017년 12월 11일

👍1

안녕하세요 @mattmoyer

"kubeadm token create --print-join-command" 명령은 1.9에서 잘 작동합니다. 하지만 내 노드에서 NotReady 상태가 나타납니다. 나는 k8s 1.9.0과 함께 우분투 16.04를 사용하고 있습니다. 어떤 제안?

siddharthjoshi745 에 2017년 12월 21일

@siddharthjoshi745 Weave Net과 같은 Pod 네트워크를 배포합니다(우리 문서에서 볼 수 있음).
오래된 문제에 대해 댓글을 달지 말고 문제를 발견한 경우 새 문제를 열거나 Slack에서 도움을 요청하세요.
좋은 하루 되세요!

luxas 에 2017년 12월 22일

어떻게 하나의 값만 출력할 수 있습니까? 토큰 또는 발견 토큰 샤 등을 말하십시오.

stephaneeybert 에 2018년 12월 07일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Kubeadm: 조인 토큰의 사용성 향상

가장 유용한 댓글

모든 22 댓글

관련 문제