获取 K8S 集群管理员 Token 的命令

于 2025-06-10 17:28:49 发布
阅读量359 收藏 5
点赞数 10
CC 4.0 BY-SA版权
分类专栏: k8s 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a772304419/article/details/148564871

获取 Kubernetes 集群管理员 Token 的方法

警告:管理员 Token 拥有集群的完全控制权限,请谨慎使用并妥善保管。不建议在生产环境中长期使用管理员 Token,而应该使用 RBAC 分配最小必要权限。

方法1:获取默认集群管理员 Token (如果有)

kubectl get secret -n kube-system $(kubectl get sa -n kube-system | grep admin | awk '{print $1}') -o jsonpath='{.data.token}' | base64 --decode

方法2:创建临时管理员 ServiceAccount 并获取 Token

# 创建管理员 ServiceAccount
kubectl -n kube-system create serviceaccount admin-user

# 创建 ClusterRoleBinding
kubectl create clusterrolebinding admin-user-binding --clusterrole=cluster-admin --serviceaccount=kube-system:admin-user

# 获取 Token
kubectl -n kube-system get secret $(kubectl -n kube-system get sa admin-user -o jsonpath='{.secrets[0].name}') -o jsonpath='{.data.token}' | base64 --decode

方法3:使用 Kubernetes 1.24+ 的 TokenRequest API

# 创建临时管理员 Token (默认有效期1小时)
kubectl create token admin-user --duration=8760h -n kube-system --bound-object-kind ClusterRole --bound-object-name cluster-admin

方法4:从 kubeconfig 中提取当前上下文 Token

kubectl config view --minify --raw -o jsonpath='{.users[0].user.token}'

安全建议

  1. 获取到的 Token 应当立即使用,不要存储在明文文件中
  2. 考虑设置较短的过期时间
  3. 使用完毕后及时撤销权限
  4. 在生产环境,建议使用更细粒度的 RBAC 权限而非集群管理员权限

验证 Token 有效性

TOKEN=<上面获取到的token>
curl -k -H "Authorization: Bearer $TOKEN" https://<your-api-server-address>:6443/api/v1/namespaces

请将 <your-api-server-address> 替换为你自个的 Kubernetes API 服务器地址。

全栈工程师工作干货总结(一)
算法小生
12-02 525
【代码】获取K8SToken命令
K8S集群Token过期处理方法以及Kubectl命令无法使用的问题解决
江晓龙的博客
07-15 2728
使用Kubeadm方式部署的K8S集群,在初始化的时候生成的Token的有效期为1天,当过期之后Token就无法使用了,也就意味着,在Node节点执行。Node节点加入集群时不光要指定Token值还需要指定CA证书的HASH值,HASH值是永不过期的。命令加入K8S集群时就会失败,可以通过下面的方法重新生成Token。不管是Node节点还是Master节点部署完成后,都是无法使用。命令时会报错权限的问题,需要手动进行配置。...
k8s获取apiserver token命令
学亮编程手记
09-05 1294
【代码】k8s获取apiserver token命令
通过curl访问k8s集群获取证书或token的方式
码农崛起
01-22 3371
RBAC(Role-Based Access Control,基于角色的访问控制):负责完成授权(Authorization)工作。RBAC(Role-Based Access Control,基于角色的访问控 制),允许通过Kubernetes API动态配置策略。• 资源操作方法:get,list,create,update,patch,watch,delete。创建k8s的用户,用户分为普通用户和serviceAccount用户。serviceAccount:内部集群资源直接访问的用户。
K8S获取连接token
red_sky_blue的专栏
09-04 3621
k8s获取基础信息demo
k8s查看用户的token并验证
热门推荐
lanwp5302的博客
03-22 1万+
查看指定空间下所有用户 kubectl get sa -n kube-system [root@docker228 kubernetes]# kubectl get sa -n kube-system NAME SECRETS AGE calico-cni-plugin 1 9h calico-policy-cont...
k8s api token获取
caohuixue_2021的博客
09-26 471
通过yaml文件创建ClusterRoleBinding。编写yaml文件如上图,并apply到k8s。创建serviceAccount。获取到的就是token
【架构】rancher集群获取k8stoken
wjianwei666的专栏
02-02 651
获取Token的示例代码中,首先使用kubectl get serviceaccount命令获取服务账号的Secret名称,然后使用kubectl get secret命令获取Secret的具体信息。这个脚本首先导入yaml模块来解析YAML格式的内容,然后遍历Kubeconfig文件中的所有用户,直到找到包含Token的用户为止。通过本文的介绍,我们了解了在Rancher集群获取K8SToken的步骤和相应的代码示例。在你选择的集群页面中,点击“Kubeconfig File”按钮。
k8s dashboard token 生成/获取
牛奔的博客
09-11 1474
创建示例用户 在本指南中,我们将了解如何使用 Kubernetes 的服务帐户机制创建新用户、授予该用户管理员权限并使用与该用户绑定的承载令牌登录仪表板。 对于以下每个和的代码片段ServiceAccount,ClusterRoleBinding您都应该将它们复制到新的清单文件(如)中,dashboard-adminuser.yaml并使用kubectl apply -f dashboard-...
Kubernetesk8s的安全管理详细说明【k8s框架说明、token验证和kubeconfig验证详细说明】
2301_82056337的博客
04-27 1182
–server=https://192.168.59.142:6443——masterIP替换。
『高效管理Kubernetes子节点』解析K8S集群Token查询与重新生成的方式
老陈聊架构
01-16 3086
K8S子节点加入集群Token查询及重新生成
获取k8s admin token
RayPick的博客
06-01 4367
具体操作环境: 我们用程序调用Kubernetes API 时,需要使用KubernetesToken Service Account 对象的作用就是 K8s 系统内置的一种“服务账户”,是 Kubernetes 进行权限分配的对象。比如, Service Account1 ,可以只被允许对 Kubernetes API 进行 GET 操作,而 Service Account2,则可以有 Kubernetes API 的所有操作权限。 2.应用k8s-admin.yaml配置 3.获取admin-to
kubernetes查看用户token
拒绝熬夜啊的博客
02-28 7051
kubernetes查看用户token
k8s登陆token获取命令
m0_48038376的博客
04-15 5737
kubectl -n kube-system describe $(kubectl -n kube-system get secret -n kube-system -o name | grep namespace) | grep token
Kubernetes学习之连接集群】利用 kubeconfig 或 secret Token 连接 k8s 集群
叮当猫的喵i
12-07 1632
serviceaccount的权限由集群中对应的rolebinding决定,官方文档:
k8s 1.24 版本以后获取永不过期token?
Zzzzzz的博客
10-11 3801
一个服务操作多个k8s集群, 这个时候就会出现授权问题。k8s 1.24版本之前sa账号产生的token在secret中是永久不过期的。在1.24版本以后secret将不再保留token.而此时容器中的token是只有一个小时就过期的,这对于一个服务来操作多个k8s集群基本就不可能了。
k8s argo workflow获取登录token命令
学亮编程手记
03-01 1073
k8s argo workflow获取登录token命令 kubectl exec -it argo-server-xxx-xxx -n argo-system -- argo auth token
蓝易云:配置k8s的一个serviceaccount具有管理员权限并获取他的token教程
高性价比服务器就选:蓝易云
10-15 596
首先,我们需要创建一个ServiceAccount和一个ClusterRoleBinding,将ClusterRole(集群角色)绑定到ServiceAccount上。现在,你已经成功配置了一个拥有管理员权限的ServiceAccount,并获取了它的Token。ServiceAccount的Token是用于身份验证的凭证。注意:ServiceAccount的Token具有管理员权限,因此请妥善保管和使用。字段的那一行,后面的长字符串就是ServiceAccount的Token
k8s集群token
最新发布
01-01
### 如何生成和管理Kubernetes集群Token认证 #### 查询现有Token 为了查看当前Kubernetes集群中存在的Token,可以通过`kubectl`命令获取这些信息。具体来说,在命名空间`kube-system`下查找类型为`bootstrap.kubernetes.io/token`的秘密资源(secret),这通常包含了用于加入新节点所需的临时凭证。 ```bash [root@k-master token]# kubectl -n kube-system get secrets ``` 上述命令会列出所有的秘密对象及其基本信息,其中就包括了由`kubeadm`创建用来引导新的控制平面或工作节点加入集群所必需的身份验证令牌[^1]。 #### 使用Token连接至集群 当拥有有效的Token之后,就可以利用它构建完整的`kubeadm join`指令来进行节点注册: ```bash kubeadm join 192.168.47.141:6443 --token 8i4u54.b9e76zz08r3c7ghu \ --discovery-token-ca-cert-hash sha256:9f14112c56a57f3e35bce52be55968faf457e791cdd40d93fef731222fc63393 ``` 这条语句中的IP地址代表API服务器的位置;而后面的参数则指定了实际使用的Token以及CA证书哈希值以供身份验证过程使用[^2]。 #### 创建新的Token 如果发现无法找到任何可用的Token或者希望手动增加额外的安全措施,则可通过下面的方法自动生成一个新的Token并打印出相应的`join`命令: ```bash kubeadm token create --print-join-command ``` 此操作不仅能够提供最新的访问凭据,还允许管理员灵活地调整哪些机器被授权接入集群环境内。 #### 安全实践建议 对于生产环境中运行的Kubernetes集群而言,定期轮换Token是非常重要的安全策略之一。这样可以减少因长期不变而导致泄露风险的可能性,并确保只有经过最新一轮审核后的设备和服务才具备合法进入权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学亮编程手记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值