KubeApiserver源码分析

最新推荐文章于 2023-12-25 21:01:25 发布
最新推荐文章于 2023-12-25 21:01:25 发布
阅读量319 收藏
点赞数
分类专栏: kubernetes 文章标签: restful 后端 kubernetes k8s 云开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1023934860/article/details/124950504
版权

KubeApiserver流程分析

kube-apiserver底层原理使用go-restful框架对路径进行映射,然后通过etcd客户端对etcd进行请求。

我们需要注意kube-apiserver的几个功能:TLS认证、权限验证、webhook。

kube-apiserver使用http2.0作为传输协议所以对请求进行采用TLS认证,在认证完成后会通过类似于过滤链的形式对请求进行调用。

接下来让我们先看一下kube-apiserver是如何创建go-restful以及添加资源映射的。

//创建go-restful服务并返回
func NewAPIServerHandler(name string, s runtime.NegotiatedSerializer, handlerChainBuilder HandlerChainBuilderFn, notFoundHandler http.Handler) *APIServerHandler {
   // 创建Container
   gorestfulContainer := restful.NewContainer()
   gorestfulContainer.ServeMux = http.NewServeMux()
   gorestfulContainer.Router(restful.CurlyRouter{}) // e.g. for proxy/{kind}/{name}/{*}
   gorestfulContainer.RecoverHandler(func(panicReason interface{}, httpWriter http.ResponseWriter) {
      logStackOnRecover(s, panicReason, httpWriter)
   })
   gorestfulContainer.ServiceErrorHandler(func(serviceErr restful.ServiceError, request *restful.Request, response *restful.Response) {
      serviceErrorHandler(s, serviceErr, request, response)
   })
   director := director{
      name:               name,
      goRestfulContainer: gorestfulContainer,
      nonGoRestfulMux:    nonGoRestfulMux,
   }
   return &APIServerHandler{
     // 接受到请求并进行TLS认证后会调用该handler链,该链第一步就是对权限进行验证工作。
      FullHandlerChain:   handlerChainBuilder(director),
      GoRestfulContainer: gorestfulContainer,
      NonGoRestfulMux:    nonGoRestfulMux,
      Director:           director,
   }
}

// handlerChainBuilder(director)的实现
func DefaultBuildHandlerChain(apiHandler http.Handler, c *Config) http.Handler {
	// trck记录
	handler = filterlatency.TrackCompleted(handler)
    // 权限认证
	handler = genericapifilters.WithAuthorization(handler, c.Authorization.Authorizer, c.Serializer)
	handler = filterlatency.TrackStarted(handler, "authorization")
	return handler
}

资源映射分为两步,api资源创建与apis资源创建两步基本类似,所以我们只看api资源创建

// 根据每个资源调用该方法,比如pod、service
func (a *APIInstaller) registerResourceHandlers(path string, storage rest.Storage, ws *restful.WebService) (*metav1.APIResource, *storageversion.ResourceInfo, error) 

这里会根据子资源,是否有命名空间对请求路径进行创建
会通过path以及参数、请求方式生成action。
遍历actions,go-restful中的ws根据请求方式(get,post,put,get等)将生成的handler与path进行添加。
这每个handler都嵌入的webhook操作。
迷茫路人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes_APIServer_APIServer简介
毛毛的专栏
03-26 4334
api server 是 Kubernetes 集群的网关。它是 Kubernetes 集群中的所有用户、自动化和组件都可以访问的中心接触点。API Server通过 HTTP 实现 RESTful API,执行所有 API 操作,并负责将 API 对象存储到持久存储后端。
kube-apiserver功能特性
qq1010267837的博客
05-27 3236
apiserver 提供了对各类资对象,如 Pod、Service、Deployment、CRD 等的增删改查,以及 Watch 的 API 接口,是整个集群的操作入口。 kube-apiserver 是 Kubernetes 最重要的核心组件之一,主要提供以下的功能 提供集群管理的 REST API 接口,包括认证授权、数据校验以及集群状态变更等 提供其他模块之间的数据交互和通信的枢纽(其他模块通过 API Server 查询或修改数据,只有 API Server 才直接操作 etcd) kube
深入理解Kube-APIServer
BurningMyself
05-22 770
深入理解Kube-APIServer¶ 目录 - 认证 - 鉴权 - 准入 Mutating Validating Admission - 限流 - APIServer对象的实现 API Server¶ kube-apiserver是Kubernetes最重要的核心组件之一,主要提供以下的功能 提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更 等 提供其他模块之间的数...
[kubernetes]Kube-APIServer
最新发布
weixin_38805083的博客
12-25 1077
定义groupGroupName定义groupversion定义SchemeBuildervar (将对象加入SchemeBuilderr!= nil {return err&Pod{},}}List单一对象数据结构• TypeMeta• Spec• Status。
一文读懂 Kubernetes APIServer 原理
cbmljs的博客
10-25 743
整个Kubernetes技术体系由声明式API以及Controller构成,而kube-apiserver是Kubernetes的声明式api server,并为其它组件交互提供了桥梁。因此加深对kube-apiserver的理解就显得至关重要了。
kubernetes码阅读笔记——API Server(之一)
weixin_30273501的博客
02-01 198
API Server是Kubernetes的核心组件之一,其作用是通过RESTFUL的方式,向所有客户端提供一个集群内资的统一的增改删查的接口,并将资的状态存储在etcd中。 API Server入口函数的位置在cmd/kube-apiserver/apiserver.go中,也是通过cobra注册了kube-apiserver的命令。 cmd/kube-apiserver/...
Kubernetes 分析 -- API Server之API安装
cbmljs的博客
11-25 758
前言 API Server的启动中,我们直到介绍了三种服务Master、CustomResourceDefinitions、Aggrator的创建,但是具体的API的创建部分没有介绍。 本文旨在把这块说清楚,让我们了解整个API Server对外提供了哪些API,这些API是在怎样被注册到服务中去的。我们知道,API Server对外提供的Http/Https服务,这都是基于go http服务框...
kube-apiserver分析
fengcai_ke的博客
09-12 735
kube-apiserver流程分析
【kubernetes】部署kube-apiserver与kubectl
weixin_45842494的博客
06-20 937
二进制部署kubernetes集群在企业应用中扮演着非常重要的角色。无论是集群升级,还是证书设置有效期都非常方便,也是从事云原生相关工作从入门到精通不得不迈过的坎。通过本系列文章,你将从虚拟机准备开始,到使用二进制方式从零到一搭建起安全稳定的高可用kubernetes集群,对各个组件的部署过程有一个清晰的认识。我将展现完整的集群搭建过程,重点部分将进行说明。并提供一站式、完整的资文件包。希望通过本系列的学习,你能真正学习到有价值的知识,更好得应对工作中遇到的问题。如有疑问,可扫码联系我。
Kubernetes 核心组件:API Server 概念/功能
小楼一夜听春雨,深巷明朝卖杏花
07-10 2554
1. 认证2.鉴权3.准入4.限流5.API Server 对象的实现 所谓的api-server其实就是整个kubernetes集群控制面的api网关。针对于任何api网关,它都要做自我保护,第一你需要做认证,我要知道你这个请求来自哪里,鉴权我要知道一个请求有没有操作权限。任何的请求都会以一个对象,object形式发过来,发到apiserver这一端,我还要去校验你这个请求的合法性,除了我要知道你是谁,你有没有这个操作权限,还要看你的request是不是合法的,比如说你的属性设置错了,或者说需要对你的re
Kubernetes APIServer 认证 基于Webhook的认证服务集成
小楼一夜听春雨,深巷明朝卖杏花
07-12 735
之前我们学习了kubernetes有哪些认证插件,通过几个简单的最基础的认证方式,包括静态token,包括x509,包括serviceaccount,理解了认证插件是如何运作的。如果要将一个k8s集群落地到你的企业,要做生产化运维的时候,你往往要做的的第一步就是和企业内部的认证平台去做集成。如果只是小的集群,只有几个人使用,那么是没有必要的,因为k8s本身是开放式的平台,一般落地生产集群的时候,可以通过一些机制把它构建为多租户的平台,可以让企业用户都来使用这个平台。可以通过和认证集成,通过权限控制,通过配额
K8S------kube-apiserver Webhook令牌 客户端认证
qq_41768644的博客
09-14 284
k8s webhook 认证逻辑
Kubernetes APIServer
小楼一夜听春雨,深巷明朝卖杏花
03-17 307
APIServer kube-APIServer 是 Kubernetes 最重要的核心组件之一,主要提供以下的功能: 提供集群管理的 REST API 接口,包括: • 认证 Authentication • 授权 Authorization • 准入 Admission(Mutating & Valiating) 下面可以看到etcd就一根线连出来了,连到了apiserver,所以apiserver是整个集群的核心,......
Kubernetes集群部署教程-kube-apiserver部署
guting18893110463的博客
08-15 570
学习更多内容,请关注,将为你分享更多技术内容。本文使用二进制的方式进行Kubernetes集群部署安装,使用单Master的方式进行部署安装从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。推荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。
关于 Kubernetes中kube-apiserver的一些笔记
山河已无恙
12-17 2809
年轻游侠儿泪眼模糊,凄然一笑,站起身,拿木剑对准墙壁,狠狠折断。 此后江湖再无温华的消息,这名才出江湖便已名动天下的木剑游侠儿,一夜之间,以最决然的苍凉姿态,离开了江湖。 刺骨大雪中,他最后对自己说了一句。 “不练剑了。” ——烽火戏诸侯《雪中悍刀行》
Kubernetes API Server码学习(一):API Server架构设计、API Server启动过程、APIObject的装载、Scheme详解、GenericAPIServer
hxt的博客
06-22 1069
本文基于Kubernetes v1.22.4版本进行码学习。
kubernetes 核心组件之 APIServer
看,未来的博客
06-02 1801
APIServer 的重要性不言而喻。kube-apiserver作为整个Kubernetes集群操作etcd的唯一入口,负责Kubernetes各资的认证&鉴权,校验以及CRUD等操作,提供RESTful APIs,供其它组件调用: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd);提供准入控制的功能;拥有完备的集群安全机制.如图所示,Api
【云原生 · Kubernetes】部署kube-apiserver集群
念舒C.ying
09-06 1392
advertise-address :apiserver 对外通告的 I(kubernetes 服务后端节点 IP);default-*-toleration-seconds :设置节点异常相关的阈值;- max-*-requests-inflight :请求相关的最大阈值; - etcd-* :访问 etcd 的证书和 etcd 服务器地址; - bind-address : https 监听的 IP,不能为 127.0.0.1 ,否则外界不能访问它的安全端口 5443;- secret-po
kube-apiserver启动流程分析
任我行的博客
03-29 669
KubeAPIServer 主要是提供对 API Resource 的操作请求,为 kubernetes 中众多 API 注册路由信息,暴露 RESTful API 并且对外提供 kubernetes service,使集群中以及集群外的服务都可以通过 RESTful API 操作 kubernetes 中的资

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值