[k8s]api访问初探

最新推荐文章于 2024-09-04 19:03:20 发布
最新推荐文章于 2024-09-04 19:03:20 发布
阅读量9.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiiiher/article/details/77187752
版权
本文介绍了Kubernetes API在集群管理中的核心作用,包括日志展示、资源对象管理以及API的HTTP REST格式。重点讨论了API的认证授权准入流程,涉及匿名认证、HTTP token、证书,以及授权策略如ABAC和RBAC,并提到了准入控制器如AlwaysAdmit和ResourceQuota。
摘要由CSDN通过智能技术生成

api日志的展示

  • 手工二进制安装的,可以看到api的日志:
[root@node131 ~]# systemctl status kube-apiserver
● kube-apiserver.service - Kubernetes API Server
   Loaded: loaded (/etc/systemd/system/kube-apiserver.service; enabled; vendor preset: disabled)
   Active: active (running) since Tue 2017-07-25 23:07:53 CST; 2 weeks 6 days ago
     Docs: https://github.com/GoogleCloudPlatform/kubernetes
 Main PID: 2674 (kube-apiserver)
   Memory: 579.5M
   CGroup: /system.slice/kube-apiserver.service
           └─2674 /root/local/bin/kube-apiserver --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota --advertise-address=192.168.6.131 --b...

Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.086416    2674 wrap.go:75] GET /api/v1/namespaces/kube-system/endpoints/kube-controller-manager: (1.5200....131:48934]
Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.086598    2674 wrap.go:75] GET /api/v1/namespaces/kube-system/endpoints/kube-scheduler: (2.011744ms) 200....131:48610]
Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.090009    2674 wrap.go:75] PUT /api/v1/namespaces/kube-system/endpoints/kube-scheduler: (2.796268ms) 200....131:48610]
Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.090601    2674 wrap.go:75] PUT /api/v1/namespaces/kube-system/endpoints/kube-controller-manager: (3.3390....131:48934]
Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.134976    2674 wrap.go:75] GET /api/v1/nodes?resourceVersion=10144624&timeoutSeconds=492&watch=true: (8m....131:48817]
Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.135968    2674 rest.go:320] Starting watch for /api/v1/nodes, rv=10145391 labels= fields= timeout=6m32s
  • 如果是ansible安装的,那么要看到日志,则要kubectl logs -f kube-apiserver -n kube-system

注: 它们默认是打印在console里的,也可以设置打印在某个文件里,k8并可配置参数自动切割log

api的查看

Kubernetes API概述

Kubernetes API是集群系统中的重要组成部分,Kubernetes中各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)中,Kubernetes集群中的各部件之间通过该API接口实现解耦合,同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kubernetes API中的资源对象都拥有通用的元数据,资源对象也可能存在嵌套现象,比如在一个Pod里面嵌套多个Container。创建一个API对象是指通过API调用创建一条有意义的记录,该记录一旦被创建,Kubernetes将确保对应的资源对象会被自动创建并托管维护。

在Kubernetes系统中,大多数情况下,API定义和实现都符合标准的HTTP REST格式, 比如通过标准的HTTP动词(POST、PUT、GET、DELETE)来完成对相关资源对象的查询、创建、修改、删除等操作。但同时Kubernetes 也为某些非标准的REST行为实现了附加的API接口,例如Watch某个资源的变化、进入容器执行某个操作等。另外,某些API接口可能违背严格的REST模式,因为接口不是返回单一的JSON对象,而是返回其他类型的数据,比如JSON对象流(Stream)或非结构化的文本日志数据等。

Kubernetes开发人员认为,任何成功的系统都会经历一个不断成长和不断适应各种变更的过程。因此,他们期望Kubernetes API是不断变更和增长的。同时,他们在设计和开发时,有意识地兼容了已存在的客户需求。通常,新的API资源(Resource)和新的资源域不希望被频繁地加入系统。资源或域的删除需要一个严格的审核流程。

  • 通过命令行
[root@no161 manifests]# kubectl api-versions 
apps/v1beta1
authentication.k8s.io/v1
authentication.k8s.io/v1beta1
authorization.k8s.io/v1
authorization.k8s.io/v1beta1
autoscaling/v1
batch/v1
batch/v2alpha1
certificates.k8s.io/v1beta1
extensions/v1beta1
policy/v1beta1
rbac.authorization.k8s.io/v1alpha1
rbac.authorization.k8s.io/v1beta1
settings.k8s.io/v1alpha1
storage.k8s.io/v1
storage.k8s.io/v1beta1
v1

  • 通过浏览器
    k8s-api

  • 通过k8s自带的swagger

k8s-swagger
要看到这个,需要开启api相关参数

KUBE_API_ARGS="--service-node-port-range=30000-32767 --enable-swagger-ui=true --apiserver-count=3 --audit-log-maxage=30 --audit-log-maxbackup=3 --audit-log-maxsize=100 --audit-log-path=/var/log/k8s/audit.log --event-ttl=1h"

apiserver认证授权准入

https://www.kubernetes.org.cn/1995.html

对于安全端口来讲,一个 API 请求到达 6443 端口后,主要经过以下几步处理:
• 认证
• 授权
• 准入控制
• 实际的 API 请求

api启动参数:
api启动参数

  • Authentication verifies who you are.

    • httpbase
    • http token
    • 证书
    • 认证: anonymous-auth=True

  • Authorization verifies what you are authorized to do.

    • AlwaysDeny:表示拒绝所有的请求,该配置一般用于测试
    • AlwaysAllow:表示接收所有请求,如果集群不需要授权,则可以采取这个策略
    • ABAC:基于属性的访问控制,表示基于配置的授权规则去匹配用户请求,判断是否有权限。Beta 版本
    • RBAC:基于角色的访问控制,允许管理员通过 api 动态配置授权策略。Beta 版本

  • 准入控制器

    • AlwaysAdmit:允许所有请求
    • AlwaysDeny:拒绝所有请求
    • AlwaysPullImages:在启动容器之前总是去下载镜像
    • ServiceAccount:将 secret 信息挂载到 pod 中,比如 service account token,registry key 等
    • ResourceQuota 和 LimitRanger:实现配额控制
    • SecurityContextDeny:禁止创建设置了 Security Context 的 pod
txjjjjj
关注
K8S类型系统】一文梳理 K8S 各类型概念之间的关系(GVK/GVR/Object/Schema/RestMapper)
叮当猫的喵i
03-01 1191
Group 组、Version版本、Namespace 命名空间,这些都很容易理解,都是为了隔离,资源版本隔离(Group、Version)和用户资源隔离(Namespace)Kind 对象类型,如 Kind=Sh 对应 sh 类型文件,Kind=Doc 对应 doc 类型文件Resource 可以理解为 Kind 的含义补充,用于获取真正的资源对象;GVK 专注于类型定义,确定是哪种资源对象,GVR 专注于获取资源对象或对资源对象进行操作;
访问api是如何使用的
我的博客
06-15 544
根据实际情况,您可以根据具体的API端点和参数来构建完整的API请求URL,进行GET、POST或其他类型的请求。基础URL(Base URL)https://api.dify.ai/v1通常是用来构建API请求的基础部分,您可以在该基础URL后面添加具体的端点和参数来发送请求。如果请求成功,我们解析API返回的响应内容,并打印生成的健康饮食计划。您可以将以上代码粘贴到Python脚本中执行,确保API应用正在运行并监听在指定的端口上(例如5000),然后可以看到API应用返回的生成的饮食计划信息。
通过kube-apiserver访问K8s集群中的App
华为云官方博客
01-12 1279
K8s集群中的App,除了使用LoadBalancer、NodePort,Ingress,Loadbalancer以外,还可以通过Kube-apiserver访问哦。
k8s介绍
最新发布
m0_68394388的博客
09-04 1664
例如,如果在同⼀台物理服务器上运⾏多个应⽤程序, 则可能会出。现⼀个应⽤程序占⽤⼤部分资源的情况,⽽导致其他应⽤程序的性。⽽⼀种解决⽅案是将每个应⽤程序都运⾏在不同的物理服务器上,添加或更新应⽤程序,⽽因此可以具有更⾼的可扩缩性,以及降低。容器,衍⽣于虚拟技术,但具有更宽松的隔离特性,使容器可以在。物理服务器中运⾏的应⽤程序资源使⽤,因此会导致资源分配问。和缩容应⽤程序实例,保证应⽤业务⾼峰并发时的⾼可⽤性;杀死健康检查失败的容器,并且在未。,⼀旦宕机或不可⽤,那么所有控制命令都将失效,可对主节点。
【原创】k8s源码分析-----kubelet(8)pod管理
月牙寂
04-13 7299
本文QQ空间链接:http://user.qzone.qq.com/29185807/blog/1460540474 本文csdn博客链接:http://blog.csdn.net/screscent/article/details/51145382 源码为k8s v1.1.1稳定版本  3、Pod管理 前面的7篇文章都是为这篇文章做准备的。终于要进入到正题中,pod的管理   3.1...
如何访问kubernetes API
MyySophia的博客
07-02 1565
k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。kubernetes API Server的功能:提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd);是资源配额控制的入口;拥有完备的集群安全机制.
有状态软件如何在 k8s 上快速扩容甚至自动扩容
east4ming的博客
12-07 2096
概述 在传统的虚机/物理机环境里, 如果我们想要对一个有状态应用扩容, 我们需要做哪些步骤? 申请虚机/物理机 安装依赖 下载安装包 按规范配置主机名, hosts 配置网络: 包括域名, DNS, 虚 ip, 防火墙... 配置监控 今天虚机环境上出现了问题, 是因为 RabbitMQ 资源不足. 手动扩容的过程中花费了较长的时间. 但是在 K8S 上, 有状态应用的扩容就很简单, YAML 里改一下replicas副本数, 等不到 1min 就扩容完毕. 当然, 最基本的: 下镜像, 启动 pod(
helm部署应用到k8s集群(helm+k8s)-详细文档
06-21
helm 部署应用到 k8s 集群详细文档 本文档详细介绍了使用 Helm 部署应用到 Kubernetes 集群的过程。Helm 是一个 Kubernetes 的包管理工具,能够方便地将之前打包好的 YAML 文件部署到 Kubernetes 上。 Helm 有三个...
1. 什么是Kubernetes(K8S)?初探容器编排技术
Kubernetes(常简称为K8S)是一个开源的容器编排引擎,最初由Google开发,并于2014年捐赠给了Cloud Native Computing Foundation (CNCF)。 Kubernetes的主要功能包括自动化部署、扩展和操作应用程序容器,它提供了...
Kubernetes_K8s初探:认识容器技术与Kubernetes的基本概念
# 1. 容器技术概述 ## 1.1 什么是容器? 容器是一种轻量级、可移植的封装,包括应用程序及其所有依赖的运行环境。它将应用程序与其运行环境隔离开来,使得应用程序可以在不同的环境中具有相同的行为。...
Windows docker k8s asp.net core
dz45693的专栏
08-09 2468
在上一篇文章Ubuntu 18 Kubernetes的Install and Deploy 我们在ubuntu在部署了k8s集群, 今天来看看windows下怎么搞。 主要点有: 1) windows 下搭建k8s 单节点 2)ap.net core 制作和发布镜像 ,重点在于发布到私有的harbor上(Ubuntu18 安装搭建Harbor) 3)部署到k8s集群上 安装 1.下载...
Kubernetes入门指南
10-28
K8s CN 官方文档,非常好的手册。内容很详细,有核心原理的详细介绍以及部署配置的说明,好东西分享给大家
kubernetes(k8s) API调用方式
doublewe的博客
02-09 6994
1. kubectl 反向代理 // 在 master 节点上,输入如下命令 kubectl proxy // 如果需要指定端口,则添加 自带非安全端口8080 安全端口6443
学习k8s的接口(Api)使用,并试着调用KubeEdge中(计数器demo)设备的信息
m0_46440313的博客
04-21 4017
学习k8s的接口(Api)使用,并试着调用KubeEdge中(计数器demo)设备的信息
方便的 Kubernetes API 参考文档
偶尔记一下 - mybatis.io
02-24 5905
http://k8s.mybatis.tk 关注过 K8s 的人可能都看过官方的 API 参考文档: https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.13 这个文档的形式如下图所示: 如果你真正参考过这个文档,你会发现这个文档特别不好用,想要逐级查看属性信息时,经常在锚点之间跳转,无法从整体上看到完整的结构,非...
k8s用ServiceAccount Token的方式访问apiserver
海鸥
04-15 2917
在kubernetes集群,可以登陆到master集群,可以使用私钥证书的方式访问。证书路径:master的/etc/kubernetes/pki/(ca.crt / apiserver.crt / apiserver.key) 下面。 # server是apiserver公网访问地址 curl --cacert ca.crt --cert apiserver.crt --key apiserver.key https://$server/api 这里再介绍一下使用ServiceAccount T
Linux企业运维——Kubernetes(十三)访问控制
weixin_44310047的博客
08-23 462
Linux企业运维——Kubernetes(十三)访问控制 文章目录Linux企业运维——Kubernetes(十三)访问控制1、基本概念2、API Server认证2.1、ServiceAccount(SA)2.2、UserAccount(UA)3、授权 1、基本概念 kubernetes API 访问控制过程:认证、授权、准入控制 Authentication(认证) 认证方式现共有8种,可以启用一种或多种认证方式,只要有一种认证方式通过,就不再进行其它方式的认证。通常启用X509 Client C
K8S API接口汇总
热门推荐
Shallow的博客
02-28 2万+
一、资源对象 首先附上官方API参考文档 官方api文档 1. namespace 增(创建)POST请求: 创建namespace: /api/v1/namespaces 删(删除) DELETE请求: 删除namespace: /api/v1/namespaces/{name} 改(修改)PUT请求: 替换指定的命名空间: /api/v1/namespaces/{name} 替...
K8SapiVersion该用哪个
weixin_34167043的博客
11-25 2291
本篇文章来自Terraform与Kubernetes中关于Deployment apps/v1的吐槽 Kubernetes的官方文档中并没有对apiVersion的详细解释,而且因为K8S本身版本也在快速迭代,有些资源在低版本还在beta阶段,到了高版本就变成了stable。 如Deployment: 1.6版本之前 apiVsersio...
java k8s api
05-15
Java K8s API具有一系列功能,包括:访问和管理Kubernetes集群资源,例如部署、服务、Pod等;创建、删除、更新Kubernetes资源;实现不同用户的身份验证和授权管理;管理Kubernetes集群的生命周期和可用性;提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值