k8s aggregator api 扩展实战记录

已于 2024-05-04 14:42:16 修改
阅读量139 收藏
点赞数 2
分类专栏: 运维 文章标签: 运维 kubernetes ubuntu
于 2024-05-03 23:24:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20779397/article/details/138426459
版权

aggregator api作为k8 api扩展的两种方式之一(另外一种为CRD),其原理是通过GVR的形式向apiserver 注册aggregator apiserver(k8s service服务),当外部访问GVR时,通过kube-apiserver转发请求到aggregator apiserver上。常用于已存在外部服务(aggregator apiserver),希望借用k8s的认证、授权和准入功能来规范api接口的访问的场景。原理比较简单,但是实践过程会遇到一些踩坑的点,记录如下:
个人理解实现aggregator api扩展大致分为两步:
1、aggregator apiserver部署和api的注册。其中aggregator apiserver的部署可以借助k8s deployment 和replicaset等形式来实现,服务需要通过service 暴露apiserver服务。
2、暴露服务需要通过GVR资源apiservice来注册。

在此过程中需要注意的点是:
1、aggregator apiserver部署过程中需要手动生成aggregator apiserver对kube-apiserver认证的CA证书,可以通过cfssl和openssl方式生成。cfssl生成CA证书方式可以参考
https://editor.csdn.net/md/?articleId=137720791 实现。tls验证可以通过将CA证书以secret形式挂载到aggregator apiserver。具体实现可以在aggregator apiserver主进程中实现。
通过secret挂载CA证书时需注意:data 中key 为证书需以base64编码形式

2、在进行api注册时,可以通过spec.caBundle来为设置kube-apiserver设置CA证书(证书内容为CA内容的base64编码)。

3、如果aggregator apiserver为自定义开发的web程序,需要预留 discoverycheck的api接口(个人理解时注册过程中kube-apiserver验证service是否存在及可提供服务),api接口内容为api注册的GVR对应的api路由path。

例:注册名称为group:aa.k8s.io version:v1beta 则预留api为 /apis/aa.k8s.io/v1beta

判断api是否注册成功:可以通过kubectl describe 注册的apiservice来查看AVAILABLE字段为true。

4、外界访问注册的api需要配置对应的权限和通过认证。认证可以通过创建serviceaccount来生成对应认证凭证(servicecaccount生成过程中会生成同名的secret,内包含ca证书和token),通过RBAC配置操作权限,Role绑定serviceaccount,使认证授权两者统一。外界访问注册api凭证可以通过获取secret中token来认证。
也可以跳过重新生成认证和授权、直接使用k8s集群中提供的CA证书(kubectl的CA证书)来访问(kubeadm安装的集群使用的证书在admin.conf文件配置中)
客户端CA证书和密钥为:client-certificate-data client-key-data
例如curl指令访问:
curl --cert client-certificate-data --key client-key-data -k …
使用-k跳过验证apiserver的证书
如果需要验证apiserver服务端证书,携带–cacert certificate-authority-data
使用certificate-authority-data验证apiserver服务端证书有效性。

kangziheng
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s开启汇聚器aggregator
划水的银开的博客
04-11 1188
安装证书 先拷贝一个模板文件 mkdir -p /work/deploy/kubernetes/security/aggregatorLayer_tls cd /work/deploy/kubernetes/security/aggregatorLayer_tls cp /etc/pki/tls/openssl.cnf openssl-aggregator.cnf 修改模板文件,记得在v3_r...
Kubernetes API Aggregator 是什么
wangzan18的博客
02-27 1548
一、什么是 Aggregated API Server 1.1、概述 Aggregated(聚合的)API server 是为了将原来的 API server 这个巨石(monolithic)应用给拆分开,为了方便用户开发自己的 API server 集成进来,而不用直接修改 Kubernetes 官方仓库的代码,这样一来也能将 API server 解耦,方便用户使用实验特性。这些 API se...
K8s---HPA弹性伸缩
WuDan_1112的博客
08-14 2346
Kubernetes是借助Agrregator APIServer扩展机制来实现Custom Metrics。Custom Metrics APIServer是一个提供查询Metrics指标的API服务(Prometheus的一个适配器),这个服务启动后,kubernetes会暴露一个叫custom.metrics.k8s.io的API,当请求这个URL时,请求通过Custom Metics APIServer去Prometheus里面去查询对应的指标,然后将查询结果按照特定格式返回。......
高效开发,项目中是否有聚合服务接口
weixin_39098944的博客
09-16 745
前言 服务拆分之后,前后端同学之间关于 API 粒度的争吵越来越常见: 「前端同学请求两个接口,聚合一下数据不就行了?」后端同学想只提供业务领域基础 API 服务能力,数据组装处理则希望由前端同学完成。 「后端聚合一下,前端可以少一次请求,只负责页面渲染!」前端同学希望只负责页面渲染,而 H5、APP、小程序同一个聚合逻辑可能会出现在三端,后端聚合则只需要一次。 接口聚合服务就是我们的一个解决思路。 接口聚合服务是什么? 接口聚合服务就是一个搬运工,只是帮助前端同学聚合多个接口的返回数据,聚合之后一次性返回
使用aggregation API扩展你的kubernetes API
虚幻私塾
06-23 416
Kubernetes apiserver aggregation AA 是Kubernetes提供的一种扩展API的方法,目前并没有GA众所周知,kubernetes扩展API的方法大概为三种:CRD、AA、手动扩展源码。根据CNCF分享中Min Kim说的AA更关注于实践,而用户无需了解底层的原理,这里使用过 , 的用户是很能体会到这点。官方也给出了CRD与AA的区别要想很好的使用AA,就需要对kubernetes与 AA 之间认证机制进行有一定的了解,这里涉及到一些概念在下面的说明中,所有出现的API
K8S 之系统扩展 CRD/ 自定义 API Server
cbmljs的博客
10-25 612
kubernetes扩展
kube-aggregator:Kubernetes风格的API服务器的聚合器
04-29
此仓库的HEAD将与k8s.io/apiserver、k8s.io/apimachinery和k8s.io/client-go的HEAD匹配。 它从何而来? kube-aggregator从同步。 在该位置进行代码更改,合并到k8s.io/kubernetes ,然后在此处同步。
aggregator-api
04-29
developers.democracyclub.org.uk API关于该项目在其他民主俱乐部API的前面提供了...地方发展应用cp aggregator-api/aggregator/settings/local.example.py aggregator-api/aggregator/settings/local.py 安装Python依
K8S系统的监控及HPA控制器.doc
08-30
资源指标 API 主流的实现是 metrics-server,自定义指标 API 以构建在监控系统 Prometheus 之上到 k8s-prometheus-adapter 使用最为广泛。 二、资源指标及应用 1、部署 metrics server Metrics server 是集群级别...
api-doc-aggregator
04-09
api-doc-aggregator 用法 克隆存储库,运行npm i ,然后运行node index.js以启动。 该应用程序可以在localhost:3000上访问。 码头工人 克隆存储库后,使用docker build -t api-doc-aggregator:latest .构建映像...
apiserver:用于编写Kubernetes风格的API服务器的库
02-11
它的第一个消费者k8s.io/kubernetesk8s.io/kube-aggregator和github.com/kubernetes-incubator/service-catalog 。 兼容性 尚无此存储库的兼容性保证。 它是Kubernetes的直接支持,因此分支机构将跟踪...
k8s-集群扩展
Mclaughling的博客
11-01 1320
k8s-集群扩展 1 k8s有哪些扩展点? kubernetes具备高可配、高扩展特性。自定义kubernetes集群大体上也分成两个方向,一个是配置,一个是扩展。配置又分成修改配置文件、标志与API resources两个小方向,扩展需要运行额外的程序或者服务。 Kubernetes 是一个可移植的、可扩展的开源平台,用于管理容器化的工作负载和服务,可促进声明式配置和自动化。Kubernetes 拥有一个庞大且快速增长的生态系统。Kubernetes 的服务、支持和工具广泛可用[^1]。 虽然现在 Kub
K8s随笔
fourierr的博客
10-22 1598
1、CRD.yaml编写: CRD的type:integer类型--reconcile的int类型,CRD的format:float64 type:number类型--reconcile的float64类型
CNCF 云原生系列文章
烟云的计算
12-23 1600
目录 文章目录目录安装 API Aggregator 安装 API Aggregator API Aggregation 允许在不修改 Kubernetes 核心代码的同时扩展 Kubernetes API,即:将第三方服务注册到 Kubernetes API 中,这样就可以通过 Kubernetes API 来访问第三方服务了,例如:Metrics Server API。 注:另外一种扩展 Kubernetes API 的方法是使用 CRD(CustomResourceDefinition)。 检查 A
解析kubernetes Aggregated API Servers
热门推荐
柳清风的专栏
12-25 4万+
kubernetesAggregated API是什么呢?它是允许k8s的开发人员编写一个自己的服务,可以把这个服务注册到k8sapi里面,这样,就像k8s自己的api一样,你的服务只要运行在k8s集群里面,k8sAggregate通过service名称就可以转发到你写的service里面去了。 这个设计理念: 第一是增加了api扩展性,这样k8s的开发人员就可以编写自己的API服务
K8s容器资源限制
weixin_30808693的博客
08-02 914
K8s中定义Pod中运行容器有两个维度的限制:  1. 资源需求:即运行Pod的节点必须满足运行Pod的最基本需求才能运行Pod。    如: Pod运行至少需要2G内存,1核CPU 2. 资源限额:即运行Pod期间,可能内存使用量会增加,那最多能使用多少内存,这就是资源限额。    # kubectl describe node node1...
k8s技术预研10--深入分析kubernetes集群安全机制
watermelonbig的专栏
04-24 2376
Kubernetes过一系列机制来实现集群的安全机制,包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等。集群的安全性必须考虑以下的几个目标:(1)保证容器与其所在宿主机的隔离;(2)限制容器给基础设施及其他容器带来消极影响的能力;(3)最小权限原则,合理限制所有组件的权限,确保组件只执行它被授权的行为,通过限制单个组件的能力来限制他所能到达的权限范围;(4)明确组...
k8s部署jenkins
最新发布
06-06
好的,下面是部署 Jenkins 到 Kubernetes 集群的一般步骤: 1. 创建 Jenkins 镜像并上传到 Docker 镜像仓库中; 2. 创建 Kubernetes 配置文件,包括 Deployment 和 Service 配置; 3. 在 Kubernetes 集群中部署 Jenkins。 具体步骤如下: 1. 创建 Jenkins 镜像并上传到 Docker 镜像仓库中 首先,你需要下载 Jenkins 的官方镜像,在此基础上进行修改。你可以在 Dockerfile 中添加自己的插件、配置文件等。例如,以下是一个 Dockerfile 文件的示例: ``` FROM jenkins/jenkins:lts # 安装插件 RUN jenkins-plugin-cli --plugins "git workflow-aggregator matrix-auth ssh-slaves" # 添加配置文件 COPY config.xml /var/jenkins_home/ COPY credentials.xml /var/jenkins_home/ COPY init.groovy.d/ /var/jenkins_home/init.groovy.d/ ``` 构建镜像并上传到 Docker 镜像仓库: ``` docker build -t your-docker-username/jenkins:latest . docker push your-docker-username/jenkins:latest ``` 2. 创建 Kubernetes 配置文件 接下来,你需要创建 Kubernetes 配置文件,包括 Deployment 和 Service 配置。 Deployment 配置文件示例: ``` apiVersion: apps/v1 kind: Deployment metadata: name: jenkins spec: replicas: 1 selector: matchLabels: app: jenkins template: metadata: labels: app: jenkins spec: containers: - name: jenkins image: your-docker-username/jenkins:latest ports: - containerPort: 8080 name: http - containerPort: 50000 name: jnlp env: - name: JAVA_OPTS value: "-Djenkins.install.runSetupWizard=false" volumeMounts: - name: jenkins-home mountPath: /var/jenkins_home volumes: - name: jenkins-home persistentVolumeClaim: claimName: jenkins-home ``` Service 配置文件示例: ``` apiVersion: v1 kind: Service metadata: name: jenkins spec: type: ClusterIP selector: app: jenkins ports: - name: http port: 8080 targetPort: 8080 - name: jnlp port: 50000 targetPort: 50000 ``` 3. 在 Kubernetes 集群中部署 Jenkins 最后,你可以使用 kubectl 命令在 Kubernetes 集群中部署 Jenkins: ``` kubectl apply -f deployment.yaml kubectl apply -f service.yaml ``` 等待一段时间后,你可以通过 Service 的 IP 地址访问 Jenkins。例如,如果你使用了上面的 Service 配置文件,那么可以通过 http://service-ip:8080 访问 Jenkins。默认的管理员用户名和密码都是 admin。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值