Kubeadm: 검색 토큰 CA 해시를 가져오는 프로그래밍 방식 없음

에 만든 2018년 01월 12일 · 11코멘트 · 출처: kubernetes/kubeadm

kubeadm token create .. 또는 다른 메커니즘을 통해 토큰을 생성하는 경우 kubeadm init의 사람이 읽을 수 있는 출력(따라서 안정적이지 않음)을 구문 분석하는 것 외에는 토큰 ca 인증서 해시를 얻을 수 있는 방법이 없습니다. ca 해시를 사용하여 토큰을 생성하는 기계 판독 가능한 방법이 있어야 합니다. 그렇지 않으면 올바른 일(tm)을 수행하려는 욕구가 있더라도 --discovery-token-unsafe-skip-ca-verification을 사용해야 합니다. Atm 대안은 kubeadm init의 변경된 인간 읽기 출력을 구문 분석하거나 ca에 대한 kubeadm의 해시 계산을 다시 구현하는 것입니다. cd /etc/kubernetes/pki && sha256sum * 의 출력이 kubeadm init의 출력과 동일한 sha를 표시하지 않는 것처럼 간단하지 않기 때문에 소스를 읽을 필요가 없다면 후자는 그렇게 나쁘지 않을 것입니다.

kinfeature prioritbacklog

출처

kapilt

👍11

가장 유용한 댓글

최신 버전의 kubeadm을 사용해 보셨습니까?

# kubeadm token create --print-join-command
kubeadm join --token 5d2dc8.3e93f8449167639b 10.0.2.66:6443 --discovery-token-ca-cert-hash sha256:44a68d4a2c2a86e05cc0d4ee8c9c6b64352c54e450021331c483561e45b34388

kad 에 2018년 01월 15일

👍80 🎉19 😄13 ❤12 🚀1

모든 11 댓글

최신 버전의 kubeadm을 사용해 보셨습니까?

# kubeadm token create --print-join-command
kubeadm join --token 5d2dc8.3e93f8449167639b 10.0.2.66:6443 --discovery-token-ca-cert-hash sha256:44a68d4a2c2a86e05cc0d4ee8c9c6b64352c54e450021331c483561e45b34388

kad 에 2018년 01월 15일

👍80 🎉19 😄13 ❤12 🚀1

여전히 좋지 않습니다. 프로그래밍 방식으로 이것을 사용하려는 사람은 토큰과 검색 토큰 해시를 모두 추출하기 위해 명령을 구문 분석해야 합니다. 안전하게 구문 분석할 수 있도록 json과 같은 출력 형식을 지정할 수 있다면 더 좋을 것입니다.

ConorNevin 에 2018년 01월 16일

👍11

감사합니다. 이에 대한 별도의/새로운 명령이 있다는 것을 몰랐습니다. 동의합니다. json에 이것을 갖는 것이 더 좋을 것입니다. 1.6 및 1.7에 대한 이전 워크플로는 kubeadm 토큰 생성이었고 초기화 및 조인 시 해당 값을 재사용했습니다. cert 해시(해당 형식으로 인해 그 자체로 확장할 수 없음). 왜 기계가 읽을 수 있는지, 조인을 위해 전달할 추가 매개변수가 있고 일부는 ip에 대한 dns와 같이 교체해야 합니다.

kapilt 에 2018년 01월 18일

예, 조인 명령을 파일에 덤프한 다음 sed를 사용하여 끔찍하지는 않지만 특별히 친숙하지도 않은 ignore-preflight-errors 플래그를 추가해야 했습니다.

thecatwasnot 에 2018년 01월 21일

따라서 더 프로그래밍 방식으로 만들고 플래그의 중복을 제거하기 위해 단계를 다듬기 위한 지속적인 노력이 있습니다. 이것은 하나의 사용자 스토리일 뿐입니다. @fabriziopandini 어딘가에 이것에 대한 부모 문제가 있습니까?

timothysc 에 2018년 03월 07일

@timothysc
졸업 단계에 대한 문제는 #454이지만 일종의 구식이며 다가오는 KEP가 승인되는 즉시 새 것으로 시작하는 것이 합리적일 수 있습니다.

그러나 이 문제와 관련하여 IMO에서는 요청 범위가 kubeadm init/phases 에서 kubeadm token 에 이르기 때문에 모든 명령에서 일관된 방식으로 기계 판독 가능 출력에 대한 요구를 처리하기 위해 전용 우산 문제를 열어야 합니다 kubeadm upgrade (#494 참조).

어떻게 생각하십니까? 괜찮으시다면 새 우산호를 열겠습니다...

fabriziopandini 에 2018년 03월 09일

나는 방금이 문제를 해결했습니다. 다음을 사용하여 ca 인증서 공개 키의 sha256sum을 계산할 수 있었습니다.

$ openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -pubkey | openssl rsa -pubin -outform DER 2>/dev/null | sha256sum | cut -d' ' -f1

예쁘지 않은...

davemac30 에 2018년 05월 29일

👍31 ❤10 🎉3

정규 표현식을 사용합니다. Ansible로 테스트했습니다.

- hosts: localhost
  tasks:
    - shell: kubeadm token create --print-join-command
      register: results
    - debug:
        var: results.stdout
    - set_fact:
        token: "{{ results.stdout | regex_search(regexp, '\\2') | first }}"
      vars:
        regexp: '([^\s]+\s){4}([^\s]+)'
    - debug:
        var: token
    - set_fact:
        hash: "{{ results.stdout | regex_search(regexp, '\\2') | first }}"
      vars:
        regexp: '([^\s]+\s){6}([^\s]+)'
    - debug:
        var: hash

결과:

TASK [debug] *******************************************************************************************************************************************************************************************************
ok: [localhost] => {
    "results.stdout": "kubeadm join 192.168.1.2:6443 --token 3a0fje.octau87o6x30dz8i --discovery-token-ca-cert-hash sha256:1fd18093fb89b364879d5667b7ec84fd24171c30de0070deb6a3801b54a0f85c"
}

TASK [set_fact] ****************************************************************************************************************************************************************************************************
ok: [localhost]

TASK [debug] *******************************************************************************************************************************************************************************************************
ok: [localhost] => {
    "token": "3a0fje.octau87o6x30dz8i"
}

TASK [set_fact] ****************************************************************************************************************************************************************************************************
ok: [localhost]

TASK [debug] *******************************************************************************************************************************************************************************************************
ok: [localhost] => {
    "hash": "sha256:1fd18093fb89b364879d5667b7ec84fd24171c30de0070deb6a3801b54a0f85c"
}

Pinaute 에 2018년 06월 10일

👍9 🚀1

몇 가지 해결 방법이 있으므로 종료합니다.

timothysc 에 2018년 07월 03일

👎9

이것은 권장되지 않지만 https://github.com/cablespaghetti/kubeadm-aws/blob/master/worker.sh#L45 --discovery-token-unsafe-skip-ca-verification 에서도 작동합니다.

graykode 에 2019년 07월 04일

👍1

Azure에서 작업자 및 마스터 리소스에 대한 태그 사용:
rg는 RG 이름을 가진 변수입니다.

masterPrivateIp=$(az 네트워크 NIC 목록 -g $rg --query "[?tags.module == 'k8smasters'].ipConfigurations[0].privateIpAddress" -o tsv)
tokenId=$(ssh $masterIp "kubeadm 토큰 목록 | grep -v TOKEN | cut -d' ' -f1")
tokenSHA=$(ssh $masterIp "openssl x509 -in /etc/kubernetes/pki/ca.crt -noout -pubkey | openssl rsa -pubin -outform DER 2>/dev/null | sha256sum | cut -d' ' -f1 ")

joinCommand="kubeadm Join $master PrivateIp:6443 --token $tokenId --discovery-token-ca-cert-hash sha256:$tokenSHA"

$(az network public-ip list -g $rg --query [?tags.module == 'k8sworkers'].ipAddress -o tsv)의 ip
~하다
ssh $ip $join명령
완료

SeryioGonzalez 에 2019년 08월 19일

👍1

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Kubeadm: 검색 토큰 CA 해시를 가져오는 프로그래밍 방식 없음

가장 유용한 댓글

모든 11 댓글

관련 문제