huangjingui 别着急,问题现在已经定位到代码了https://github.com/kubernetes/apiserver/blob/v0.17.4/pkg/endpoints/filters/authentication.go#L104,kubesphere 中会向 kube-apiserver 发送请求的几个 pod 有 ks-apiserver, ks-controller-mananger ,都是直接使用的 serviceaccount ,不应该会出现 invalid token (排查也很简单,如果 kubesphere 使用了 错误的 token ,kubesphere-system 下的 pod 的日志中也会有相关的错误) ,除 kubesphere 之外其他的组件或者进程都有可能会直接请求 kube-apiserver ,这得你稍加定位, 可以抓包看看, 直接使用 serviceaccount 的 pod 一般不会引起这个错误,(你需要检查一下https://kubernetes.io/docs/reference/access-authn-authz/authentication/ 是否启用了 service-account-lookup serviceaccount 被删除后token无法继续使用)
