k8s apiserver之启动执行流程总览二

最新推荐文章于 2024-07-14 02:18:38 发布
最新推荐文章于 2024-07-14 02:18:38 发布
阅读量753 收藏 2
点赞数 1
分类专栏: kubernetes apiserver系列 文章标签: kubernetes golang 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36407557/article/details/125316667
版权

k8s apiserver之启动执行流程总览二

启动执行流程总览二

启动执行流程总览二

本文主要分析kubernetes在启动kube-apiserver的执行流程,本文不作深入分析,后续会展开

server.go

  • 函数
// 构建授权器和授权规则解析器
func BuildAuthorizer(s *options.ServerRunOptions, EgressSelector *egressselector.EgressSelector, versionedInformers clientgoinformers.SharedInformerFactory) (authorizer.Authorizer, authorizer.RuleResolver, error) {
   // 将 BuiltInAuthorizationOptions类型的对象 转换为 authorizer.Config类型对象
   authorizationConfig := s.Authorization.ToAuthorizationConfig(versionedInformers)

   // 如果配置有EgressSelector -- 用来分发访问入口选择器
   if EgressSelector != nil {
   	// 这里直接指定是ControlPlane
   	egressDialer, err := EgressSelector.Lookup(egressselector.ControlPlane.AsNetworkContext())
   	if err != nil {
   		return nil, nil, err
   	}
   	authorizationConfig.CustomDial = egressDialer
   }
   // 返回多个 authorizer.Authorizer 对象的授权链
   return authorizationConfig.New()
}

// 构建 API 优先级和公平性过滤器的核心
func BuildPriorityAndFairness(s *options.ServerRunOptions, extclient clientgoclientset.Interface, versionedInformer clientgoinformers.SharedInformerFactory) (utilflowcontrol.Interface, error) {
   // 限制变异请求的最大数量MaxMutatingRequestsInFlight和限制非变异请求的最大数量MaxRequestsInFlight之和
   // 若小于等于0,则return err
   if s.GenericServerRunOptions.MaxRequestsInFlight+s.GenericServerRunOptions.MaxMutatingRequestsInFlight <= 0 {
   	return nil, fmt.Errorf("invalid configuration: MaxRequestsInFlight=%d and MaxMutatingRequestsInFlight=%d; they must add up to something positive", s.GenericServerRunOptions.MaxRequestsInFlight, s.GenericServerRunOptions.MaxMutatingRequestsInFlight)
   }
   return utilflowcontrol.New(
   	versionedInformer,
   	extclient.FlowcontrolV1beta2(),
   	s.GenericServerRunOptions.MaxRequestsInFlight+s.GenericServerRunOptions.MaxMutatingRequestsInFlight,
   	// 这里注意,flag RequestTimeout的四分之一,设置为RequestWaitLimit(请求等待时长)
   	s.GenericServerRunOptions.RequestTimeout/4,
   ), nil
}

// 完成默认为初始化的配置。该方法在解析flags后必须被调用
func Complete(s *options.ServerRunOptions) (completedServerRunOptions, error) {
   var options completedServerRunOptions
   // 设置AdvertiseAddress字段 用于生成k8s.io中apiserver/pkg/server/config.go中Config结构体的ExternalAddress字段
   // 提供给集群外部访问
   if err := s.GenericServerRunOptions.DefaultAdvertiseAddress(s.SecureServing.SecureServingOptions); err != nil {
   	return options, err
   }

   // 解析启动参数service-cluster-ip-range,获取serverServiceIP 首选serviceIPRange和次要serviceIPRange
   apiServerServiceIP, primaryServiceIPRange, secondaryServiceIPRange, err := getServiceIPAndRanges(s.ServiceClusterIPRanges)
   if err != nil {
   	return options, err
   }
   s.PrimaryServiceClusterIPRange = primaryServiceIPRange
   s.SecondaryServiceClusterIPRange = secondaryServiceIPRange
   s.APIServerServiceIP = apiServerServiceIP

   //  可能需要生成自签名证书 - 注意是可能 如果ServerCert.CertKey中指定了  就不需要生成
   if err := s.SecureServing.MaybeDefaultWithSelfSignedCerts(s.GenericServerRunOptions.AdvertiseAddress.String(), []string{"kubernetes.default.svc", "kubernetes.default", "kubernetes"}, []net.IP{apiServerServiceIP}); err != nil {
   	return options, fmt.Errorf("error creating self-signed certificates: %v", err)
   }

   // 如果为指定ExternalHost
   if len(s.GenericServerRunOptions.ExternalHost) == 0 {
   	// 如果AdvertiseAddress不为空,则会根据其生成ExternalHost
   	if len(s.GenericServerRunOptions.AdvertiseAddress) > 0 {
   		s.GenericServerRunOptions.ExternalHost = s.GenericServerRunOptions.AdvertiseAddress.String()
   	} else {
   		// 如果AdvertiseAddress为空,则会获取系统hostname,生成ExternalHost
   		if hostname, err := os.Hostname(); err == nil {
   			s.GenericServerRunOptions.ExternalHost = hostname
   		} else {
   			return options, fmt.Errorf("error finding host name: %v", err)
   		}
   	}
   	klog.Infof("external host was not specified, using %v", s.GenericServerRunOptions.ExternalHost)
   }

   // 验证Authentication和Authorization设置是否有冲突
   s.Authentication.ApplyAuthorization(s.Authorization)
   
   // 该参数在启动kube-apiserver时指定,是一个证书来颁发用户令牌,提供用户访问k8s
   if s.ServiceAccountSigningKeyFile == "" {
   	// 如果ServiceAccounts的私钥没有指定并且ServerCert的私钥指定
   	if len(s.Authentication.ServiceAccounts.KeyFiles) == 0 && s.SecureServing.ServerCert.CertKey.KeyFile != "" {
   		// 读取对应路径的证书,并验证是否符合pem公钥(SecureServing.ServerCert.CertKey.KeyFile为私钥,使用该方法可以返回true么?)
   		if kubeauthenticator.IsValidServiceAccountKeyFile(s.SecureServing.ServerCert.CertKey.KeyFile) {
   			s.Authentication.ServiceAccounts.KeyFiles = []string{s.SecureServing.ServerCert.CertKey.KeyFile}
   		} else {
   			klog.Warning("No TLS key provided, service account token authentication disabled")
   		}
   	}
   }

   // ServiceAccountSigningKeyFile和Authentication.ServiceAccounts.Issuer不为空
   if s.ServiceAccountSigningKeyFile != "" && len(s.Authentication.ServiceAccounts.Issuers) != 0 && s.Authentication.ServiceAccounts.Issuers[0] != "" {
   	// 读取对应路径的证书,并验证是否符合pem私钥
   	sk, err := keyutil.PrivateKeyFromFile(s.ServiceAccountSigningKeyFile)
   	if err != nil {
   		return options, fmt.Errorf("failed to parse service-account-issuer-key-file: %v", err)
   	}
   	// 如果Authentication.ServiceAccounts.MaxExpiration不为0,即有过期失效
   	if s.Authentication.ServiceAccounts.MaxExpiration != 0 {
   		lowBound := time.Hour
   		upBound := time.Duration(1<<32) * time.Second
   		// 验证过期时间在1 hour and 2^32 seconds
   		if s.Authentication.ServiceAccounts.MaxExpiration < lowBound ||
   			s.Authentication.ServiceAccounts.MaxExpiration > upBound {
   			return options, fmt.Errorf("the service-account-max-token-expiration must be between 1 hour and 2^32 seconds")
   		}

   		if s.Authentication.ServiceAccounts.ExtendExpiration {
   			if s.Authentication.ServiceAccounts.MaxExpiration < serviceaccount.WarnOnlyBoundTokenExpirationSeconds*time.Second {
   				klog.Warningf("service-account-extend-token-expiration is true, in order to correctly trigger safe transition logic, service-account-max-token-expiration must be set longer than %d seconds (currently %s)", serviceaccount.WarnOnlyBoundTokenExpirationSeconds, s.Authentication.ServiceAccounts.MaxExpiration)
   			}
   			if s.Authentication.ServiceAccounts.MaxExpiration < serviceaccount.ExpirationExtensionSeconds*time.Second {
   				klog.Warningf("service-account-extend-token-expiration is true, enabling tokens valid up to %d seconds, which is longer than service-account-max-token-expiration set to %s seconds", serviceaccount.ExpirationExtensionSeconds, s.Authentication.ServiceAccounts.MaxExpiration)
   			}
   		}
   	}

   	// 获取一个TokenGenerator,用来生成jwt
   	s.ServiceAccountIssuer, err = serviceaccount.JWTTokenGenerator(s.Authentication.ServiceAccounts.Issuers[0], sk)

   	if err != nil {
   		return options, fmt.Errorf("failed to build token generator: %v", err)
   	}
   	s.ServiceAccountTokenMaxExpiration = s.Authentication.ServiceAccounts.MaxExpiration
   }

   // 默认是为true
   if s.Etcd.EnableWatchCache {
   	// DefaultWatchCacheSizes 定义应禁用 watchcache 的默认资源。
   	sizes := kubeapiserver.DefaultWatchCacheSizes()
   	// Ensure that overrides parse correctly.
   	// s.Etcd.WatchCacheSizes默认是空的
   	userSpecified, err := serveroptions.ParseWatchCacheSizes(s.Etcd.WatchCacheSizes)
   	if err != nil {
   		return options, err
   	}
   	// 覆盖sizes对应key的value
   	for resource, size := range userSpecified {
   		sizes[resource] = size
   	}
   	// map变为   group.source#num,group.source#num,覆盖Etcd.WatchCacheSizes
   	s.Etcd.WatchCacheSizes, err = serveroptions.WriteWatchCacheSizes(sizes)
   	if err != nil {
   		return options, err
   	}
   }

   // 用于定义启用和禁用 那些gv(有啥用呢? 就是我们可以把alpha 版本的resource禁用),控制是否会生成对应gvr的etcd rest
   for key, value := range s.APIEnablement.RuntimeConfig {
   	// 这里会校验是否有以下几种情况,会从PIEnablement.RuntimeConfig中删除,然后在PIEnablement.RuntimeConfig设置key="/v1",value为原始值
   	// 为什么这么做呢?单纯猜测:这几种表示方法和s.APIEnablement.RuntimeConfig["/v1"] = value是一样的  只是整理一下
   	if key == "v1" || strings.HasPrefix(key, "v1/") ||
   		key == "api/v1" || strings.HasPrefix(key, "api/v1/") {
   		delete(s.APIEnablement.RuntimeConfig, key)
   		s.APIEnablement.RuntimeConfig["/v1"] = value
   	}
   	// 如果 gv= "api/legacy",则直接从s.APIEnablement.RuntimeConfig移除,因为这是k8s遗留问题,目前来说必须有的东西
   	if key == "api/legacy" {
   		delete(s.APIEnablement.RuntimeConfig, key)
   	}
   }

   options.ServerRunOptions = s
   return options, nil
}
  • 结构体
// 在调用 Run 之前必须强制调用 Complete()。
type completedServerRunOptions struct {
   *options.ServerRunOptions
}
  • 方法
// 根据enabledAggregatorRouting构建service解析器
func buildServiceResolver(enabledAggregatorRouting bool, hostname string, informer clientgoinformers.SharedInformerFactory) webhook.ServiceResolver {
   var serviceResolver webhook.ServiceResolver
   // 开启了聚合路由
   if enabledAggregatorRouting {
   	// 这里会解析service/clusterip -- endpoint - pod
   	serviceResolver = aggregatorapiserver.NewEndpointServiceResolver(
   		informer.Core().V1().Services().Lister(),
   		informer.Core().V1().Endpoints().Lister(),
   	)
   } else {
   	// 解析service/clusterip
   	serviceResolver = aggregatorapiserver.NewClusterIPServiceResolver(
   		informer.Core().V1().Services().Lister(),
   	)
   }
   // 包装解析本地 kubernetes.default.svc
   if localHost, err := url.Parse(hostname); err == nil {
   	serviceResolver = aggregatorapiserver.NewLoopbackServiceResolver(serviceResolver, localHost)
   }
   return serviceResolver
}

// 解析启动参数service-cluster-ip-range,获取serverServiceIP 首选serviceIPRange和次要serviceIPRange
func getServiceIPAndRanges(serviceClusterIPRanges string) (net.IP, net.IPNet, net.IPNet, error) {
   serviceClusterIPRangeList := []string{}
   if serviceClusterIPRanges != "" {
   	// 以逗号分割
   	serviceClusterIPRangeList = strings.Split(serviceClusterIPRanges, ",")
   }

   // 首选ip
   var apiServerServiceIP net.IP
   // 双栈ip 第一个
   var primaryServiceIPRange net.IPNet
   // 双栈ip 第二个
   var secondaryServiceIPRange net.IPNet
   var err error
   // 用户未提供任何内容,使用默认范围(仅适用于 Primary)
   if len(serviceClusterIPRangeList) == 0 {
   	var primaryServiceClusterCIDR net.IPNet
   	// 检查 serviceClusterIPRange 标志是否为 nil,如果是则发出警告,并将服务 ip 范围设置为 options.DefaultServiceIPCIDR 中的默认值。返回服务ip范围,api服务器服务IP
   	primaryServiceIPRange, apiServerServiceIP, err = controlplane.ServiceIPRange(primaryServiceClusterCIDR)
   	if err != nil {
   		return net.IP{}, net.IPNet{}, net.IPNet{}, fmt.Errorf("error determining service IP ranges: %v", err)
   	}
   	return apiServerServiceIP, primaryServiceIPRange, net.IPNet{}, nil
   }

   //  将配置的双栈ip1 解析为 CIDR 表示法 IP 地址和长度
   _, primaryServiceClusterCIDR, err := netutils.ParseCIDRSloppy(serviceClusterIPRangeList[0])
   if err != nil {
   	return net.IP{}, net.IPNet{}, net.IPNet{}, fmt.Errorf("service-cluster-ip-range[0] is not a valid cidr")
   }

   // 检查 serviceClusterIPRange 标志是否为 nil,如果是则发出警告,并将服务 ip 范围设置为 options.DefaultServiceIPCIDR 中的默认值。返回服务ip范围,api服务器服务IP
   primaryServiceIPRange, apiServerServiceIP, err = controlplane.ServiceIPRange(*primaryServiceClusterCIDR)
   if err != nil {
   	return net.IP{}, net.IPNet{}, net.IPNet{}, fmt.Errorf("error determining service IP ranges for primary service cidr: %v", err)
   }
   
   // 用户提供了至少两个条目 注意:验证断言该列表最多包含两个双堆栈条目
   if len(serviceClusterIPRangeList) > 1 {
   	// 将配置的双栈ip2 解析为 CIDR 表示法 IP 地址和长度
   	_, secondaryServiceClusterCIDR, err := netutils.ParseCIDRSloppy(serviceClusterIPRangeList[1])
   	if err != nil {
   		return net.IP{}, net.IPNet{}, net.IPNet{}, fmt.Errorf("service-cluster-ip-range[1] is not an ip net")
   	}
   	secondaryServiceIPRange = *secondaryServiceClusterCIDR
   }
   return apiServerServiceIP, primaryServiceIPRange, secondaryServiceIPRange, nil
}
ITTALK圈
关注
专栏目录
云原生kubernetes实战】在k8s环境下部署Monica个人交际关系管理系统
jks212454的博客
10-30 2682
云原生kubernetes实战】在k8s环境下部署Monica个人交际关系管理系统
K8S类型系统】一文梳理 K8S 各类型概念之间的关系(GVK/GVR/Object/Schema/RestMapper)
叮当猫的喵i
03-01 1135
Group 组、Version版本、Namespace 命名空间,这些都很容易理解,都是为了隔离,资源版本隔离(Group、Version)和用户资源隔离(Namespace)Kind 对象类型,如 Kind=Sh 对应 sh 类型文件,Kind=Doc 对应 doc 类型文件Resource 可以理解为 Kind 的含义补充,用于获取真正的资源对象;GVK 专注于类型定义,确定是哪种资源对象,GVR 专注于获取资源对象或对资源对象进行操作;
k8s apiserver启动执行流程总览
qq_36407557的博客
06-16 1140
apiserver启动执行流程总览 启动执行流程总览apiserver启动执行流程总览启动执行流程总览server.go 启动执行流程总览 本文主要分析kubernetes启动kube-apiserver执行流程,本文不作深入分析,后续会展开 server.go 函数 // 启动命令行的实现 func NewAPIServerCommand() *cobra.Command { // 设置默认的apiserver启动选项 s := options.NewServerRunOpti
k8sapiserver
fourierr的博客
02-12 2674
k8sapiserver
Kubernetes_APIServer_APIServer简介
最新发布
weixin_37085241的博客
07-14 353
文章目录一、前言APIServer概要三、APIServer中的接口3.1 kubectl与APIServer之间是REST调用3.2 查看yaml文件中的apiVersion3.3 APIServer 中的 Restful 风格接口3.4 APIServer中的 API 路径3.5 kube-apiserver 的...
k8s :kube-apiserver 启动流程
mark's technic world
02-28 5435
前言 看 k8s 源代码有一段时间,总感觉在迷宫里乱窜,有时候觉得终于找到出口了,一下子又撞墙了,总结下来还是自己的内功不够深厚,本文是对 kube-apiserver Legacy(遗留,即将废弃)API 初始化流程(以及数据结构)的一个梳理,算是做个"路标",便于以后在"迷宫"中还能找到回来的路 kube-apiserver 主要功能是提供 api 接口给客户端访问 后端 etcd 存储,...
k8s使用配置文件启动service
kongkong的专栏
12-02 765
基于上篇 k8s使用nginx-deployment.yaml nginx-svc.yaml apiVersion: v1 kind: Service metadata: name: nginx-svc # service name spec: type: NodePort # 配置NodePort,外部流量可访问k8s中的服务 ports: - port: 80 # 服务访问端口,集群内部访问的端口 # targetPort
k8s apiserver启动执行流程之aggregatorServer
qq_36407557的博客
06-29 1056
本文主要分析kubernetes启动kube-apiserver时,创建聚合服务的过程。总览中概括性标记了流程。本节会详细分析,主要有以下几点:构建apiextensionsapiserver.Config扩展配置 – 其实就是包装了通用apiserver配置和其他额外的配置...
flink on yarn-per job源码解析、flink on k8s介绍
weixin_51981189的博客
03-28 1115
YARN per job模式下用户程序在Client端被执行,Client端即执行flink shell命令的执行节点。Client端主要工作就是将用户写的代码转换为JobGraph,向YARN提交应用以执行JobGraph。PipelineExecutor(YarnJobClusterExecutor)将StreamGraph转换为JobGraphClusterDescriptor(YarnClusterDescriptor)通过YARN部署flink集群以执行JobGraph。
云原生进阶之容器】第五章容器运行时5.7--容器逃逸原理
junbaozi的专栏
04-11 728
容器逃逸,是指“流氓”容器尝试突破正常隔离环境限制,借助一些手段获得容器所在的直接宿主机、宿主机上的其他容器或集群内其他主机、其他容器的某种权限下的命令执行能力,进行恶意攻击或执行越权访问的行为。容器逃逸漏洞可能打穿容器节点,甚至整个集群。
云原生进阶之容器】第六章容器网络6.5.2--Calico网络架构详述
junbaozi的专栏
04-17 597
Calico最优先的网络设置是使用BGP与物理网络对等的Non-overlay网络模式,实现Pod IP可在集群外部路由。如果无法将BGP对等连接到物理网络,但集群位于独立的L2网络中,也可以运行Non-overlay模式,只是在集群中的节点之间对等BGP,应用外部缺少Pod IP的路由,无法在集群外路由。或者设置为Overlay模式下的VXLAN或IP-in-IP,并使用跨子网Overlay模式来优化L2子网内的性能。
K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法
weixin_42896216的博客
03-16 825
K8s认证机制、kubeconfig及配置、Service Account,K8s鉴权体系、RBAC及配置案例、Ingress工作机制,Ingress配置方式及金丝雀发布案例、Helm及常见用法
k8s往secret里导入证书_K8S的服务账号增强
weixin_30471581的博客
01-03 3069
一、背景apiserverk8s的中枢组件,每次api访问请求都需要认证,例如可以通过证书方式,使用curl测试下访问apiserver的版本资源curl -k --cert/etc/kubernetes/ssl/apiserver-kubelet-client.crt --key /etc/kubernetes/ssl/apiserver-kubelet-client.keyhttp...
Kubernetes1.5源码分析(一) apiServer启动分析
weixin_34034670的博客
03-14 159
源码版本 Kubernetes v1.5.0 简介 apiserverK8S最重要的组成部分,不论是命令操作还是通过remote API进行控制,实际都需要经过apiserverapiserverk8s系统中所有对象的增删改查盯的http/restful式服务端,其中盯是指watch操作。数据最终存储在分布式一致的etcd存储内,a...
kubernetes的PKI证书
rendongxingzhe的博客
05-10 1485
Kubernetes 需要 PKI 证书才能进行基于 TLS 的身份验证。如果你是使用 kubeadm 安装的 Kubernetes,则会自动生成集群所需的证书。你也可以自己生成证书。 集群是如何使用证书的 Kubernetes 需要 PKI 才能执行以下操作 1.Kubelet 的客户端证书,用于 API 服务器身份验证 2.API 服务器端点的证书 3.集群管理员的客户端证书,用于 API 服务器身份认证 4.API 服务器的客户端证书,用于和 Kubelet 的会话 5.AP
kube-apiserver启动命令参数解释
小云的博客
03-07 3879
apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
K8S:无法正常开启 Kube-apiserver
Xucf1
04-16 6170
文章目录K8S:无法正常开启 Kube-apiserver①报错现象②解决过程 K8S:无法正常开启 Kube-apiserver ①报错现象 环境:K8S 单节点进制部署 主机 IP 组件 master01 192.168.126.11 kube-apiserver、kube-controller-manager、kube-scheduler、etcd node01 192.168.126.13 kubelet、kube-proxy、docker、flannel、etcd nod
1、Kubernetes apiserver认证
码农崛起
06-06 1131
https://www.jianshu.com/p/97a3e7060f4chttps://www.cnblogs.com/netonline/p/8710481.htmlkubernetes认证Kubernetes集群的操作可以通过apiserver来进行操作,kubectl命令最终也是调用的apiserver,如果想要获取对apiserver进行操作,需要先通过其认证api-server的认证...
K8S apiserver没有启动
04-07
如果K8S apiserver没有启动,可能是以下原因: 1. 网络问题:apiserver需要访问etcd和其他Kubernetes组件,如果网络不通,可能会导致apiserver启动失败。 2. 配置问题:apiserver的配置文件可能有误,例如证书、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值