kube 之apiServer学习

最新推荐文章于 2024-08-01 11:41:35 发布
最新推荐文章于 2024-08-01 11:41:35 发布
阅读量1.5w 收藏 5
点赞数
分类专栏:
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28703581/article/details/51260454
版权
本文详细介绍了Kubernetes API Server的认证过程,包括apiserver的角色、启动配置、认证组件实现,以及BasicAuth、Token、ServiceAccount等认证方式的具体步骤。重点解析了apiserver如何通过不同的认证器处理请求,展示了认证器的生成和使用,揭示了认证过程的关键代码和逻辑。
摘要由CSDN通过智能技术生成

    apiserver相当于是k8集群的一个入口,不论通过kubectl还是使用remote api 直接控制,都要经过apiserver。apiserver说白了就是一个server负责监听指定的端口.

main函数的代码位于./kubernetes/cmd/kube-apiserver:

func main() {
    runtime.GOMAXPROCS(runtime.NumCPU())
    rand.Seed(time.Now().UTC().UnixNano())

    s := app.NewAPIServer()
    s.AddFlags(pflag.CommandLine)

    util.InitFlags()
    util.InitLogs()
    defer util.FlushLogs()

    verflag.PrintAndExitIfRequested()

    if err := s.Run(pflag.CommandLine.Args()); err != nil {
        fmt.Fprintf(os.Stderr, "%v\n", err)
        os.Exit(1)
    }
}
这一部分主要是进行一些初始化的设置,启动一个apiserver实例,再将其run起来。 主要关注一下,  app.NewAPIServer() 以及  s.AddFlags(pflag.CommandLine)  两个函数,New一个apiserver的时候会放入许多默认的初始化参数: 

func NewAPIServer() *APIServer {
    s := APIServer{
        InsecurePort:           8080,
        InsecureBindAddress:    util.IP(net.ParseIP("127.0.0.1")),
        BindAddress:            util.IP(net.ParseIP("0.0.0.0")),
        SecurePort:             6443,
        APIRate:                10.0,
        APIBurst:               200,
        APIPrefix:              "/api",
        EventTTL:               1 * time.Hour,
        AuthorizationMode:      "AlwaysAllow",
        AdmissionControl:       "AlwaysAdmit",
        EtcdPathPrefix:         master.DefaultEtcdPathPrefix,
        EnableLogsSupport:      true,
        MasterServiceNamespace: api.NamespaceDefault,
        ClusterName:            "kubernetes",
        CertDirectory:          "/var/run/kubernetes",

        RuntimeConfig: make(util.ConfigurationMap),
        KubeletConfig: client.KubeletConfig{
            Port:        ports.KubeletPort,
            EnableHttps: true,
            HTTPTimeout: time.Duration(5) * time.Second,
        },
    }

    return &s
}

启动时候的全部参数通过 s.AddFlags(pflag.CommandLine) 这个函数传入,里面包括了apiserver启动时候的全部参数,这个使用的是"github.com/spf13/pflag" 这个库,可以具体查看每个相关参数的含义以及初始值。把这些参数的含义弄清,启动的时候把对应的合适的值填进去,作为apiserver的基本使用就基本没问题了。

之后负责启动的操作都是在run函数中执行,前面初始化的具体细节暂不做分析,这里着重关注一下两部分,一个是master实例的生成:

config := &master.Config{
    EtcdHelper:             helper,
    EventTTL:               s.EventTTL,
    KubeletClient:          kubeletClient,
    ServiceClusterIPRange:  &n,
    EnableCoreControllers:  true,
    EnableLogsSupport:      s.EnableLogsSupport,
    EnableUISupport:        true,
    EnableSwaggerSupport:   true,
    EnableProfiling:        s.EnableProfiling,
    EnableIndex:            true,
    APIPrefix:              s.APIPrefix,
    CorsAllowedOriginList:  s.CorsAllowedOriginList,
    ReadWritePort:          s.SecurePort,
    PublicAddress:          net.IP(s.AdvertiseAddress),
    Authenticator:          authenticator,
    SupportsBasicAuth:      len(s.BasicAuthFile) > 0,
    Authorizer:             authorizer,
    AdmissionControl:       admissionController,
    EnableV1Beta3:          enableV1beta3,
    DisableV1:              disableV1,
    MasterServiceNamespace: s.MasterServiceNamespace,
    ClusterName:            s.ClusterName,
    ExternalHost:           s.ExternalHost,
    MinRequestTimeout:      s.MinRequestTimeout,
    SSHUser:                s.SSHUser,
    SSHKeyfile:             s.SSHKeyfile,
    InstallSSHKey:          installSSH,
    ServiceNodePortRange:   s.ServiceNodePortRange,
}
m := master.New(config)

这个是主要是生成master实例对象,各种api请求最后都是通过master对象来处理的。

还有一个是server启动的时候:

if secureLocation != "" {
    secureServer := &http.Server{
        Addr:           secureLocation,
        Handler:        apiserver.MaxInFlightLimit(sem, longRunningRE, apiserver.RecoverPanics(m.Handler)),
        ReadTimeout:    ReadWriteTimeout,
        WriteTimeout:   ReadWriteTimeout,
        MaxHeaderBytes: 1 << 20,
        TLSConfig: &tls.Config{
            // Change default from SSLv3 to TLSv1.0 (because of POODLE vulnerability)
            MinVersion: tls.VersionTLS10,
        },
    }

    if len(s.ClientCAFile) > 0 {
        clientCAs, err := util.CertPoolFromFile(s.ClientCAFile)
        if err != nil {
            glog.Fatalf("unable to load client CA file: %v", err)
        }
        // Populate PeerCertificates in requests, but don't reject connections without certificates
        // This allows certificates to be validated by authenticators, while still allowing other auth types
        secureServer.TLSConfig.ClientAuth = tls.RequestClientCert
        // Specify allowed CAs for client certificates
        secureServer.TLSConfig.ClientCAs = clientCAs
    }

    glog.Infof("Serving securely on %s&
最低0.47元/天 解锁文章
一个叫程序媛的博客
关注
专栏目录
kubernetes】部署kube-apiserverkubectl
weixin_45842494的博客
06-20 971
二进制部署kubernetes集群在企业应用中扮演着非常重要的角色。无论是集群升级,还是证书设置有效期都非常方便,也是从事云原生相关工作从入门到精通不得不迈过的坎。通过本系列文章,你将从虚拟机准备开始,到使用二进制方式从零到一搭建起安全稳定的高可用kubernetes集群,对各个组件的部署过程有一个清晰的认识。我将展现完整的集群搭建过程,重点部分将进行说明。并提供一站式、完整的资源文件包。希望通过本系列的学习,你能真正学习到有价值的知识,更好得应对工作中遇到的问题。如有疑问,可扫码联系我。
深入理解Kube-APIServer
Kason_iWiki
01-18 3805
文章目录API Server访问控制概览访问控制细节认证认证插件 API Server kube-apiserverKubernetes最重要的核心组件之一,主要提供以下的功能 • 提供集群管理的REST API接口,包括认证授权、数据校验以及集群状态变更等 • 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd) 访问控制概览 Kubernetes API的每个请求都会经过多阶段的访问控制之后才会被接受,这包括认证、授权以及
学习 pflag、viper 和 cobra,构建强大的 Go 命令行工具
最新发布
小镇cxy
08-01 838
pflag 是 Go 语言的一个库,用于解析命令行参数。它是flag包的增强版,支持 POSIX/GNU 风格的命令行参数,并且可以与 cobra 无缝集成。pflag 支持长短参数格式(例如-f和--flag),并且可以处理布尔值、整数、字符串等多种参数类型。viper 是一个功能强大的配置管理库,支持多种格式(JSON、TOML、YAML 等)的配置文件,并且可以从环境变量、命令行参数等多种来源读取配置。viper 使得管理复杂的配置变得简单,并且可以与 pflag 和 cobra 无缝集成。
kube-apiserver功能特性
qq1010267837的博客
05-27 3276
apiserver 提供了对各类资源对象,如 Pod、Service、Deployment、CRD 等的增删改查,以及 Watch 的 API 接口,是整个集群的操作入口。 kube-apiserverKubernetes 最重要的核心组件之一,主要提供以下的功能 提供集群管理的 REST API 接口,包括认证授权、数据校验以及集群状态变更等 提供其他模块之间的数据交互和通信的枢纽(其他模块通过 API Server 查询或修改数据,只有 API Server 才直接操作 etcd) kube
Kubernetes_APIServer_APIServer简介
毛毛的专栏
03-26 4555
api serverKubernetes 集群的网关。它是 Kubernetes 集群中的所有用户、自动化和组件都可以访问的中心接触点。API Server通过 HTTP 实现 RESTful API,执行所有 API 操作,并负责将 API 对象存储到持久存储后端。
kube-apiserver.rar
01-09
kube-apiserver是k8s控制平面的主要组件之一,它作为集群的单一入口点,为客户端提供了与集群交互的能力。通过RESTful API接口,kube-apiserver接收并处理对资源对象(如Pod、Service、Deployment等)的创建、更新、...
Kubernetes集群部署教程-kube-apiserver部署
guting18893110463的博客
08-15 600
学习更多内容,请关注,将为你分享更多技术内容。本文使用二进制的方式进行Kubernetes集群部署安装,使用单Master的方式进行部署安装从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。推荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。
K8S:无法正常开启 Kube-apiserver
Xucf1
04-16 6161
文章目录K8S:无法正常开启 Kube-apiserver①报错现象②解决过程 K8S:无法正常开启 Kube-apiserver ①报错现象 环境:K8S 单节点二进制部署 主机 IP 组件 master01 192.168.126.11 kube-apiserverkube-controller-manager、kube-scheduler、etcd node01 192.168.126.13 kubelet、kube-proxy、docker、flannel、etcd nod
kube-apiserver授权
qiaotl的博客
05-16 289
演示RBAC模式的kube-apiserver授权模式
kube-apiserver_v1.15.3.tar
09-20
k8s.gcr.io/kube-apiserver:v1.15.3镜像tar包,使用 docker load --input kube-apiserver_v1.15.3.tar 进行导入
kube-apiserver-amd64_v1.9.3.tar
03-19
kube-apiserver-amd64_v1.9.3.tarkube-apiserver-amd64_v1.9.3.tar
kube-apiserver-amd64-v1.11.1
09-26
kube-apiserver-amd64-v1.11.1镜像,镜像使用方法: docker load -i kube-apiserver-amd64-v1.11.1.tar.gz
Kubernetes API Server源码学习(三):KubeAPIServerAPIExtensionsServer、AggregatorServer
hxt的博客
06-22 1320
本文基于Kubernetes v1.22.4版本进行源码学习
关于 Kubernetes中kube-apiserver的一些笔记
山河已无恙
12-17 2844
年轻游侠儿泪眼模糊,凄然一笑,站起身,拿木剑对准墙壁,狠狠折断。 此后江湖再无温华的消息,这名才出江湖便已名动天下的木剑游侠儿,一夜之间,以最决然的苍凉姿态,离开了江湖。 刺骨大雪中,他最后对自己说了一句。 “不练剑了。” ——烽火戏诸侯《雪中悍刀行》
【转载】kube-apiserverapiserver service 的实现
白开水的博客
07-18 870
kubernetes,可以从集群外部和内部两种方式访问 kubernetes API,在集群外直接访问 apiserver 提供的 API,在集群内即 pod 中可以通过访问 service 为 kubernetes 的 ClusterIP。kubernetes 集群在初始化完成后就会创建一个 kubernetes service,该 service 是 kube-apiserver 创建并进行维护的。 引用地址: 作者:田飞雨 链接:https://www.jianshu.com/p/06fb76bd
kube-apiserver原理报告
qq_42944740的博客
04-03 962
CRDAA无需编程。用户可选任何语言来实现 CRD 控制器需要编程,并构建可执行文件和镜像。无需额外运行服务;CRD 由 API 服务器处理需要额外创建服务,且该服务可能失效。一旦 CRD 被创建,不需要持续提供支持。Kubernetes 主控节点升级过程中自动会带入缺陷修复。可能需要周期性地从上游提取缺陷修复并更新聚合 API 服务器。无需处理 API 的多个版本;例如,当你控制资源的客户端时,你可以更新它使之与 API 同步。需要处理 API 的多个版本;
k8s-API server原理分析
热门推荐
hahachenchen789的博客
06-09 1万+
我们都知道, k8s的API server核心功能是提供了k8s各类资源对象(Pod,RC,service)的增,删,改,查及HTTP REST接口。 server是通过一个名为kube-apiserver的进程提供服务。该进程运行在master节点上,默认情况下,在本机8080端口提供REST服务。 通常我们可以通过命令行工具kubectl来与API server交互。它们之间的接口是RES...
深入理解Kubernetes架构:Master、APIServer与ControllerManager
通过统一的APIkube-apiserver)接口,管理员可以轻松地对集群中的所有资源进行操作,包括Pod、服务、部署等,这些资源都以yaml或json的形式进行配置。 1. Kubernetes Master节点是整个集群的控制中心,负责协调和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值