kubeadm join token JWT not found问题分析

已于 2024-08-01 18:40:33 修改
阅读量239 收藏 8
点赞数 3
文章标签: docker 云计算
于 2024-08-01 18:30:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012449333/article/details/140854448
版权

1背景:

kubeadm join集群时,出现JWS token找不到的错误

2现象

通过token执行如下代码时,会出现 “error execution phase preflight: couldn’t validate the identity of the API Server: could not find a JWS signature in the cluster-info ConfigMap for token ID” 这样的报错,本文主要分析一下报错原因

3分析过程

这个问题在kubeadm代码中 discovery/token/token.go 中的getClusterInfo函数上报,该函数代码如下

在这里插入代码片// getClusterInfo creates a client from the given kubeconfig if the given client is nil,
// and requests the cluster info ConfigMap using PollImmediate.
// If a client is provided it will be used instead.
func getClusterInfo(client clientset.Interface, kubeconfig *clientcmdapi.Config, token *bootstraptokenv1.BootstrapTokenString, interval, duration time.Duration) (*v1.ConfigMap, error) {
        var cm *v1.ConfigMap
        var err error
 
        // Create client from kubeconfig
        if client == nil {
                client, err = kubeconfigutil.ToClientSet(kubeconfig)
                if err != nil {
                        return nil, err
                }
        }
 
        klog.V(1).Infof("[discovery] Waiting for the cluster-info ConfigMap to receive a JWS signature"+
                "for token ID %q", token.ID)
 
        var lastError error
        err = wait.PollUntilContextTimeout(context.Background(),
                interval, duration, true,
                func(ctx context.Context) (bool, error) {
                        cm, err = client.CoreV1().ConfigMaps(metav1.NamespacePublic).
                                Get(ctx, bootstrapapi.ConfigMapClusterInfo, metav1.GetOptions{})
                        if err != nil {
                                lastError = errors.Wrapf(err, "failed to request the cluster-info ConfigMap")
                                klog.V(1).Infof("[discovery] Retrying due to error: %v", lastError)
                                return false, nil
                        }
                        // Even if the ConfigMap is available the JWS signature is patched-in a bit later.
                        if _, ok := cm.Data[bootstrapapi.JWSSignatureKeyPrefix+token.ID]; !ok {
                                lastError = errors.Errorf("could not find a JWS signature in the cluster-info ConfigMap"+
                                        " for token ID %q", token.ID)
                                klog.V(1).Infof("[discovery] Retrying due to error: %v", lastError)
                                return false, nil
                        }
                        return true, nil
                })
        if err != nil {
                return nil, lastError
        }
 
        return cm, nil

由代码可知,其是查找cluster-info中Data中是否含有对应的token,没有的话就报错。那我们看一下函数调用流程

runControlPlanePrepareControlPlaneSubphase                  cmd/phases/join/controlplaneprepare.go                 
InitCfg                                         cmd/join.go                 
TLSBootstrapCfg                                    cmd/join.go                              
For                                            discovery/discovery.go                             
DiscoverValidatedKubeConfig                            discovery/discovery.go                                            
RetrieveValidatedConfigInfo                            discovery/token/token.go                                            
retrieveValidatedConfigInfo                            discovery/token/token.go                                            
getClusterInfo                                     discovery/token/token.go

这里我们就需要考虑一下,我们创建的token会注入到cluster-info中吗?
kubeadm中token的创建有2种情况,一种是kubeadm init是创建,另一种直接通过kubeadm token create指令创建。我们先看一下kubeadm token create

在这里插入代码片// RunCreateToken generates a new bootstrap token and stores it as a secret on the server.
233 func RunCreateToken(out io.Writer, client clientset.Interface, cfgPath string, initCfg *kubeadmapiv1.InitConfiguration, printJoinCommand bool, certificateKey string, kubeConfigFile string) error     {
234     // ClusterConfiguration is needed just for the call to LoadOrDefaultInitConfiguration
235     clusterCfg := &kubeadmapiv1.ClusterConfiguration{
236         // KubernetesVersion is not used, but we set this explicitly to avoid
237         // the lookup of the version from the internet when executing LoadOrDefaultInitConfiguration
238         KubernetesVersion: kubeadmconstants.CurrentKubernetesVersion.String(),
239     }
240     kubeadmscheme.Scheme.Default(clusterCfg)
241 
242     // This call returns the ready-to-use configuration based on the configuration file that might or might not exist and the default cfg populated by flags
243     klog.V(1).Infoln("[token] loading configurations")
244 
245     internalcfg, err := configutil.LoadOrDefaultInitConfiguration(cfgPath, initCfg, clusterCfg, configutil.LoadOrDefaultConfigurationOptions{
246         SkipCRIDetect: true,
247     })
248     if err != nil {
249         return err
250     }
251 
252     klog.V(1).Infoln("[token] creating token")
253     // 创建token
254     if err := tokenphase.CreateNewTokens(client, internalcfg.BootstrapTokens); err != nil {
255         return err
256     }
257 
258     // if --print-join-command was specified, print a machine-readable full `kubeadm join` command
259     // otherwise, just print the token
260     if printJoinCommand {
261         skipTokenPrint := false
262         if certificateKey != "" {
				// 是否打印token信息
263             ............
285     }
286 
287     return nil
288 }

从上述代码可知,通过tokenphase.CreateNewTokens创建token, 代码路径 kubeadm/app/phases/bootstraptoken/node

35 // CreateNewTokens tries to create a token and fails if one with the same ID already exists
 36 func CreateNewTokens(client clientset.Interface, tokens []bootstraptokenv1.BootstrapToken) error {
 37     return UpdateOrCreateTokens(client, true, tokens)
 38 }
 39 
 40 // UpdateOrCreateTokens attempts to update a token with the given ID, or create if it does not already exist.
 41 func UpdateOrCreateTokens(client clientset.Interface, failIfExists bool, tokens []bootstraptokenv1.BootstrapToken) error {
 42 
 43     for _, token := range tokens {
 44 
 45         secretName := bootstraputil.BootstrapTokenSecretName(token.Token.ID)
			// 查询集群中secret是否包含该token信息
 46         secret, err := client.CoreV1().Secrets(metav1.NamespaceSystem).Get(context.TODO(), secretName, metav1.GetOptions{})
 47         if secret != nil && err == nil && failIfExists {
 48             return errors.Errorf("a token with id %q already exists", token.Token.ID)
 49         }
 50 		// 将token构建成secret格式
 51         updatedOrNewSecret := bootstraptokenv1.BootstrapTokenToSecret(&token)
 52 
 53         var lastError error
 54         err = wait.PollUntilContextTimeout(
 55             context.Background(),
 56             kubeadmconstants.KubernetesAPICallRetryInterval,
 57             kubeadmapi.GetActiveTimeouts().KubernetesAPICall.Duration,
 58             true, func(_ context.Context) (bool, error) {
 59                 if err := apiclient.CreateOrUpdateSecret(client, updatedOrNewSecret); err != nil {
 60                     lastError = errors.Wrapf(err, "failed to create or update bootstrap token with name %s", secretName)
 61                     return false, nil
 62                 }
 63                 return true, nil
 64             })
 65         if err != nil {
 66             return lastError
 67         }
 68     }
 69     return nil
 70 }

主要关注的实现行是apiclient.CreateOrUpdateSecret(client, updateOrNewSecret)

在这里插入代码片140 // CreateOrUpdateSecret creates a Secret if the target resource doesn't exist. If the resource exists already, this function will update the resource instead.
141 func CreateOrUpdateSecret(client clientset.Interface, secret *v1.Secret) error {
142     var lastError error
143     err := wait.PollUntilContextTimeout(context.Background(),
144         apiCallRetryInterval, kubeadmapi.GetActiveTimeouts().KubernetesAPICall.Duration,
145         true, func(_ context.Context) (bool, error) {
146             ctx := context.Background()
147             if _, err := client.CoreV1().Secrets(secret.ObjectMeta.Namespace).Create(ctx, secret, metav1.CreateOptions{}); err != nil {
148                 if !apierrors.IsAlreadyExists(err) {
149                     lastError = errors.Wrap(err, "unable to create Secret")
150                     return false, nil
151                 }
152                 if _, err := client.CoreV1().Secrets(secret.ObjectMeta.Namespace).Update(ctx, secret, metav1.UpdateOptions{}); err != nil {
153                     lastError = errors.Wrap(err, "unable to update Secret")
154                     return false, nil
155                 }
156             }
157             return true, nil
158         })
159     if err == nil {
160         return nil
161     }
162     return lastError
163 }

注释说的很明确:创建或者更新集群中该secret,我们执行一次操作看一下效果,通过查看kubeadm token create执行流程,基本只管看到其对secrets进行了post创建
这里留下最后一个疑问:是谁将该secret同步到cluster-info configmap中, 答案是kube-controller-manager
controller/bootstrap/bootstrapsigner.go

在这里插入代码片271 func (e *Signer) listSecrets() []*v1.Secret {
272     secrets, err := e.secretLister.Secrets(e.secretNamespace).List(labels.Everything())
273     if err != nil {
274         utilruntime.HandleError(err)
275         return nil
276     }
277 
278     items := []*v1.Secret{}
279     for _, secret := range secrets {
280         // 筛选是否是bootstrap token
281         if secret.Type == bootstrapapi.SecretTypeBootstrapToken {
282             items = append(items, secret)
283         }
284     }
285     return items
286 }
 
288 // getTokens returns a map of tokenID->tokenSecret. It ensures the token is
289 // valid for signing.
290 func (e *Signer) getTokens(ctx context.Context) map[string]string {
291     ret := map[string]string{}
292     secretObjs := e.listSecrets()
293     for _, secret := range secretObjs {
294         tokenID, tokenSecret, ok := validateSecretForSigning(ctx, secret)
295         if !ok {
296             continue
297         }
298 
299         // Check and warn for duplicate secrets. Behavior here will be undefined.
300         if _, ok := ret[tokenID]; ok {
301             // This should never happen as we ensure a consistent secret name.
302             // But leave this in here just in case.
303             klog.FromContext(ctx).V(1).Info("Duplicate bootstrap tokens found for id, ignoring on the duplicate secret", "tokenID", tokenID, "ignoredSecret", klog.KObj(secret))
304             continue
305         }
306 
307         // This secret looks good, add it to the list.
308         ret[tokenID] = tokenSecret
309     }
310 
311     return ret
312 }

Signer会监听集群中secret的更新,然后通过secret的type判断其是否是boot token,然后更新到cluster-info中。目前我们遇到的现象是cluster-info中没有更新,说明监听器没有监听到新token secret的产生,但实际token创建已经成功。为此我们看一下controller-manager的日志看看其运行情况。

听话,好好学习
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
K8s(十五):节点kubeadm join报错 The HTTP call equal to ‘curl -sSL http://localhost:10248/healthz‘
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-10 1万+
🔴 K8s(十五):节点kubeadm join报错 The HTTP call equal to ‘curl -sSL http://localhost:10248/healthz‘
《Python基础教程》内容总览篇(持续更新中)
热门推荐
weixin_43178406的博客
08-26 17万+
大家好,我是爱编程的喵喵。双985硕士毕业,现担任全栈工程师一职,热衷于将数据思维应用到工作与生活中。从事机器学习以及相关的前后端开发工作。曾在阿里云、科大讯飞、CCF等比赛获得多次Top名次。现为CSDN博客专家、人工智能领域优质创作者。喜欢通过博客创作的方式对所学的知识进行总结与归纳,不仅形成深入且独到的理解,而且能够帮助新手快速入门。个人精心开设的《Python基础课程》专栏订阅量接近900,帮助不少同学解决了Bug。
JAVA基于JWTtoken身份认证方案
Sunhighlight的博客
05-09 5637
一、使用JSON Web Token的好处 1.性能问题JWT方式将用户状态分散到了客户端中,相比于session,可以明显减轻服务端的内存压力。 Session方式存储用户id的最大弊病在于Session是存储在服务器端的,所以需要占用大量服务器内存, 对于较大型应用而言可能还要保存许多的状态,一般还需借助nosql和缓存机制来实现session的存储,如果是分布式应用还需session共...
kubeadm join节点报错
qq_45654671的博客
12-08 1051
kubeadm join节点报错
在node服务运行kubeadm init生成的kubeadm join报错
qq_62242833的博客
05-13 1087
安装kubernetes集群 在master主服务器运行命令: kubeadm init \ --image-repository registry.cn-hangzhou.aliyuncs.com/google_containers \ --pod-network-cidr=10.244.0.0/16 运行之后会在最底下生成一条kubeadm join 的命令 复制,在节点node服务器上运行这两行 ......
kubeadm init/join 报错 ”unknown service runtime.v1alpha2.RuntimeService”
m0_47763850的博客
10-13 1440
kubeadm init/join 报错 ”unknown service runtime.v1alpha2.RuntimeService” 默认配置错误导致的问题
k8s节点加入集群 kubeadm join报错,缺少相关证书和配置文件
最新发布
czhhhhhhh的博客
11-15 497
【代码】k8s节点加入集群 kubeadm join报错,缺少相关证书和配置文件。
go token验证_详解Go-JWT-RESTful身份认证教程
weixin_28754365的博客
12-29 922
1.什么是JWTJWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息,一个JWT由三部分组成,Header头部、Claims载荷、Signature签名,JWT原理类似我们加盖公章或手写签名的的过程,合同上写了很多条款,不是随便一张纸随便写啥都可以的,必须要一些证明,比如签名,比如盖章,JWT就是通过附加签名,保证传输过来的信息...
Gin框架dgrijalva/jwt-go实例(JWT用户认证)
owenzhang的博客
11-02 1030
这是我参与11月更文挑战的第1天,活动详情查看:2021最后一次更文挑战 1.什么是JWT JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成, Header头部,Claims载荷,Signature签名 JWT原理类似我们加盖公章或手写签名的的过程,合同上写了很多条款, 不是随便一张纸随便写...
golang 中使用 JWT 实现登录验证
cfun_goodmorning的博客
01-12 2805
简介 JWT是json web token 具体jwt的组成,加密方式等等自行百度解决,我这里仅写实现案例: 控制器代码 package controller import ( "errors" "fmt" "gindemo/dto" "gindemo/middleware" "gindemo/middleware/jwt" "gindemo/models" "github.com...
Oauth2
分享身边生活经验blog
06-26 790
四、优化 优化点如下: 兼容性问题: 因为既要兼容原始登陆模块,又要兼容新建的管理员模块,所以需要判断是原始用户还是管理员用户。 验证token时需要判断是认证服务颁发的令牌还是老登陆系统颁发的令牌并分别验证。 分布式问题:ExceptionTransactionFilter中将request请求信息保存到session中,如果是分布式部署,会有访问不到session的问题发生。 异常返回问题:资源服务器自定义异常返回。 4.1 兼容性优化 生成令牌 逻辑 音箱作为第三方需要通过授
kubeadm join添加新节点报错
zjning95的博客
03-22 1114
[root@node03 ~]# kubeadm join 192.168.99.10:6443 --token ysrv0l.1d9f6g1ecgv5yryl \ > --discovery-token-ca-cert-hash sha256:9f1adb5597a3df3df6afc86c8610792fd2e89840657380ddc56d9f4ba81d4c97 --ignore-preflight-errors=Swap [preflight] Running pre-f.
kubeadm join [ certificate has expired or is not yet valid] 处理步骤
三月泡生长在阳春三月天,把鲜红的美味奉献给世人
03-26 2034
1、查看主节点和子节点的机器服务器时间是否一致。不一致,就调整为一致 2、检查token是否真的过期了。 kubeadm token list 查看 3、重新生成token kubeadm token create,如果执行时卡住了,就要执行kubeadm reset重置了 kubeadm reset kubeadm init --kubernetes-version=v1.13.0...
kubeneters安装之kubeadmtoken失效
bee-factory
04-22 636
最近安装集群被破坏了,但是master正常。之前kubeadm jointoken看不到了,如果有的可以通过kubeadm token list查看。 没有可以kubeadm create token --ttl=0 (有效期永久,默认是一天) 接下来加入集群还需一个参数是--discovery-token-ca-cert-hash 这个是如下命令获取 openssl x509 -pub...
jwt用户认证token出错
沈光阳的博客
01-15 3937
1. 在实际服务器上部署项目时候,用户登录,显示token认证失败 在本地测试中,我写了一个转门用于用户登录认证的认证中心,颁发token我采用ip加密后的字符串作为服务器key的盐值 代码如下 /** * 校验用户名或者密码是否正确 * @param blogUser * @return */ @PostMapping("/login") public R<Map> loginCheck(HttpServletRequest request,BlogUser blogUser) {
kubeadm获取或创建加入k8s集群的token
skh2015java的博客
08-08 3424
kubeadm加入k8s集群 kubeadm join ip:port --token <token的值> \ –discovery-token-ca-cert-hash sha256: <sha的值> k8s中token一般有效期为24小时 1.查看token是否有效 $ kubeadm token list 如果获取到的值不为空,则该token有效 2.获取ca证书sha256编码hash值 $ openssl x509 -pubkey -in /etc/kubernetes/
【无标题】execute keadm command failed: timed out waiting for the condition
weixin_45566487的博客
10-10 2057
我在部署kubeedge1.11.1时发现无法处理这个问题,多次尝试重置k8s发现仍然存在无法部署的问题,这是因为在文件中没有添加主节点的污点容忍,用。在运行命令keadm init后此时已经部署了一个deployment在主节点上,只是没有成功启动。查看kubeedge在k8s的部署文件,查看yaml文件中是否添加了污点容忍,(也可以使用。命令是只允许cloudcore部署应用,不能使用(可能keadm同时``还部署了别的应用)重新查阅部署,注意在添加节点是去除污点是允许应用部署在master上,采用。
树莓派4BUbuntu server 20.04 Kubernetes-v1.17.x- Docker19.03 keadmv1.10.3部署错误一览
qq_41657220的博客
10-10 1911
execute keadm command failed: failed to exec 'bash -c sudo ln /etc/kubeedge/edgecore.service /etc/systemd/system/edgecore.service && sudo systemctl daemon-reload && sudo systemctl enable edgecore && sudo systemctl start edgecore', err: ln: failed to creat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值