k8s中 discovery-token和token 的区别

1. ‌用途与功能

  • ‌**token** ‌

    是 Kubernetes 集群中通用的身份验证凭证,用于 API 访问控制。它可以是用户 Token 或服务账户 Token,通过 kubeadm token list 查看,并用于 kubeadm join 加入节点时的认证‌。

    • 示例:kubeadm token create 生成的 Token 用于节点加入集群或 API 访问‌。
  • ‌**discovery-token** ‌

    kubeadm 初始化集群时生成的临时凭证,专门用于新节点通过 ‌Bootstrap Token ‌ 机制发现并加入集群。它包含 discovery-token-ca-cert-hash 字段,用于验证集群 CA 证书的合法性‌。

    • 示例:kubeadm init 返回的 discovery-token 用于 Worker 节点加入集群‌。

2. ‌生命周期与安全性

  • ‌**token**‌

    • 有效期较长(默认 24 小时),可通过 kubeadm token create --ttl 调整‌。
    • 支持动态更新,过期后需重新生成‌4。
  • ‌**discovery-token**‌

    • 通常为一次性使用,节点加入集群后即失效‌。
    • 需配合 --discovery-token-ca-cert-hash 使用,确保节点连接的是合法集群‌。

3. ‌使用场景

  • ‌**token**‌

    • 用于 API 访问(如 kubectl 操作)或服务账户认证‌。
    • 支持 RBAC 授权,可绑定具体权限‌。
  • ‌**discovery-token**‌

    • 仅用于节点加入集群的初始发现阶段,不涉及后续 API 访问‌。

4. ‌数据内容

  • ‌**token** ‌

    包含用户或服务账户的标识信息(如 JWT 格式的 Token)‌。

  • ‌**discovery-token** ‌

    包含集群 CA 证书的哈希值(discovery-token-ca-cert-hash),用于验证集群身份‌。

总结

特性 token discovery-token
用途 API 访问、节点加入 仅用于节点发现和初始加入
有效期 较长(可配置) 一次性或短期有效
安全性 需结合 RBAC 控制权限 依赖 CA 证书哈希验证集群合法性
生成方式 kubeadm token create kubeadm init 自动生成
相关推荐
货拉拉技术1 小时前
货拉拉离线大数据跨云迁移 - 数据迁移篇
大数据·云原生
Ting-yu2 小时前
零基础学Docker(4)--Docker镜像原理
java·docker·容器
绝非小练4 小时前
Podman安装与使用 Mac系统
容器
qq_569384126 小时前
K8S (使用步骤)
云原生·容器·kubernetes
浅拾光º6 小时前
Docker部署的MySQL,如何一键备份Docker中的MySQL?
mysql·docker·容器
胡斌附体6 小时前
docker离线部署gpt-oss-20b流程,从下载到安装再到可以使用
gpt·docker·容器·大模型·部署·记录·离线
二宝哥8 小时前
云原生docker在线yum安装
运维·docker·容器
老马爱知8 小时前
《红色脉络:一部PLMN在中国的演进史诗 (1G-6G)》 第11篇 | 核心网演进终局:从EPC到5GC——微服务与“云原生”
微服务·云原生·核心网·nfv·epc·5g核心网·sba架构
超龄超能程序猿8 小时前
云原生网关Higress介绍与部署指南
服务器·容器
simon_skywalker8 小时前
阿里云云原生挑战官方用例SPL
阿里云·云原生·kubernetes