我.kube/config用来访问服务器上的 Kubernetes api。我想知道配置文件中的令牌是否会过期?如何防止过期?
问问题
1819 次
3 回答
1
是的,它会在一年后过期。自动证书更新功能是 kubernetes 1.15 版本的默认功能,除非您在 kubeadm 初始化阶段使用 --certificate-renewal=false 选项明确禁用它。
检查过期:
kubeadm alpha certs check-expiration
例如
证书到期剩余时间由外部管理
admin.conf 2020 年 9 月 6 日 04:34 UTC 361d 没有
apiserver 2020 年 9 月 6 日 04:34 UTC 361d 没有
apiserver-etcd-client 2020 年 9 月 6 日 04:34 UTC 361d 没有
apiserver-kubelet-client 2020 年 9 月 6 日 04: 34 UTC 361d 没有
controller-manager.conf 2020 年 9 月 6 日 04:34 UTC 361d 没有
etcd-healthcheck-client 2020 年 9 月 6 日 04:34 UTC 361d 没有
etcd-peer 2020 年 9 月 6 日 04:34 UTC 361d 没有
etcd-server 2020 年 9 月 6 日 04:34 UTC 361d 没有
前端代理客户端 2020 年 9 月 6 日 04:34 UTC 361d 没有
scheduler.conf 2020 年 9 月 6 日 04:34 UTC 361d 没有
更新所有认证:
kubeadm alpha certs renew all
仅更新 admin.conf:
kubeadm alpha certs renew admin.conf
cp -i /etc/kubernetes/admin.conf $HOME/.kube/config
于 2019-09-11T03:00:43.837 回答
1
解决方案是使用 Kubernetes 服务帐户
于 2019-09-17T15:20:55.453 回答
0
这是特定于 OAuth 提供程序的。例如 GKE 使用这个。
因此,简而言之,身份验证提供程序会向您发出 JWT 令牌,证明您是身份验证,其中包含过期时间等数据,根据文档,对于谷歌帐户,它不能超过 60 分钟。
我希望它有所帮助。
于 2019-09-17T07:15:03.077 回答