K8S之API Server

最新推荐文章于 2024-05-21 19:47:59 发布
最新推荐文章于 2024-05-21 19:47:59 发布
阅读量557 收藏 18
点赞数 9
分类专栏: K8S学习 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37278522/article/details/137325923
版权

1.Kubernetes API Server概述

    从整体上来看的话,Kubernetes API Server的核心功能就是提供Kubernetes各类资源对象(pod, RC,Deployment等)的增删改查以及watch等HTTP REST接口,成为集群内各个功能模块之间数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。除此之外,它还是集群管理的API入口,是资源配额控制的入口,提供了完备的集群安全机制。

    kubernetes API Server通过一个名为kube-apiserver的进程提供服务,该进程运行在master节点上。默认情况下,kube-apiserver进程在本机的8080端口(对应参数--insecure-port)提供REST服务,我们也可以同时启动HTTPS安全端口(--secure-port=6443)来启动安全机制,加强REST API访问的安全性。

2.API Server架构解析

    API Server架构从上到下可以分为以下几层:

        1.API层:主要以REST方式提供各种API接口,除了有kubernetes资源对象的CRUD和Watch等主要API,还有健康检查、UI、日志、性能指标等运维监控相关的API。

        2.访问控制层:放客户端访问API接口时,访问控制层负责对用户身份鉴权,验明用户身份,核准用户对Kubernetes资源对象的访问权限,然后根据配置的各种资源访问许可逻辑(Admission Control),判断是否允许访问

        3.注册表层:Kubernetes把所有资源对象都保存在注册表(Registry)中,针对注册表中的各种资源对象都定义了资源对象的类型、如何创建资源对象、如何转换资源的不同版本,以及如何将资源编码和解码为JSON或ProtoBuf格式进行存储

        4.etcd数据库:用于持久化存储Kubernetes资源对象的KV数据库。etcd的Watch API接口对于API Server来说至关重要,因为通过这个接口,API Server创新性的设计了List-Watch这种高性能的资源对象实时同步机制,使Kubernetes可以管理超大规模的集群,及时响应和快速处理集群中的各种事件

下面我们在来看看pod调度过程中的List-Watch机制:

        首先,借助etcd提供的Watch API接口,API Server可以监听(Watch)在etcd上发生的数据操作事件,比如Pod创建事件、更新事件、删除事件等,在这些事件发生后,etcd会及时通知API Server。在图中红框框1,表示这个过程:当一个ReplicaSet对象被创建并保存到etcd中后,etcd会立即发送一个create事件给API Server,后续pod的创建都一样

      然后,为了让Kubernetes中的其他组件在不访问底层etcd数据库的情况下,也能及时获取资源对象的变化事件,API Server模仿etcd的Watch API接口提供了自己的Watch接口,这样一来,这些组件就能近乎实时地获取自己感兴趣的任意资源对象的相关事件通知。同种红框框2中3个List-Watch表明了这个过程。

        最后,Kubernetes List-Watch用于实现数据同步的代码逻辑 。客户端首先调用API Server的 List接口获取相关资源对象的全量数据并将其缓存到内存中,然后启动对应资源对象的Watch协程,在接收到watch事件后,再根据事件的类型(比如新增、修改或删除)对内存中的全量资源对象列表做出相应的同步修改 。 从实现上来看 ,这是一种全益结合增最的、高性能的 、 近乎实时的数据同步方式。

3.集群功能模块之间的通信

        从上面这个kubernetes结构图中,我们可以看到Kubernetes API Server 作为集群的核心, 负责集群各功能模块之间的通信 。 集群内的各个功能模块通过 API Server 将信息存入 etcd 中 ,当需要获取和操作这些数据时,则通过 API Server 提供的 REST 接口 (用 GET 、 LIST 或 WATCH 方法 )来实现,从而实现各模块之间的信息交互 。

        常见的一个交互场景是 kubelet 进程与 API Server 的交互 。每个 Node 上的 kubelet 每隔一个时间周期就会调用一次 API Server 的 REST 接口报告自 身状态, API Server 在接收到这些信息后,会将节点状态信息更新到 etcd 中 。 此外, kubelet 也通过 API Server 的 Watch接口监听 Pod 信息,如果监听到新的 Pod 副本被调度绑定到本节点,则执行 Pod 对应的容器创建和启动逻辑 ;如果监听到 Pod 对象被删除,则删除本节点上相应的 Pod 容骈;如果监听到修改 Pod 的信息, kubelet 就会相应地修改本节点的 Po d 容器 。

        另 一个交互场景是 kube-controller-manager 进程与 API Server 的交互 。 kube-controllermanager 中的 Node Controller 模块通过 AP! Server 提供的 Watch 接口 实时监控 No de 的 信息,并做相应的处理。

        还有一个比较重要的交互场景是 kube-scheduler 与 API Server 的交互 。 Scheduler 在通过 API Server 的 Watch 接口监听到新建 Pod 副本的信息后,会检索所有符合该 Pod 要求的Node 列表,开始执行 Pod 调度逻辑,在调度成功后将 Pod 绑定到目标节点上 。

        为了缓解集群各模块对 API Server 的访问压力,各功能模块都采用了缓存机制来缓存数据 。 各功能模块定时从 API Server 上获取指定的资源对象信息(通过 List-Watch 方法),然后将这些信息保存到本地缓存中,功能模块在某些情况下不直接访问 API Server, 而是通过访问缓存数据来间接访问 API Server 。

wyx学习k8s
关注
  • 9
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s-extension-apiserver
04-28
k8s扩展apiserver 原料药 type Foo struct { metav1. TypeMeta `json:",inline"` metav1. ObjectMeta `json:"metadata,omitempty"` Spec string `json:"spec" } Minikube演练 设置一切: $ cd hack $ ./build.sh...
k8sapiserver
fourierr的博客
02-12 2427
k8sapiserver
Kubernetesk8sAPI Server详解
匠人精神,持之以恒!
10-31 9771
文章目录一、概述二、K8s REST API 设计思想三、API 访问1)kubectl 命令行访问方式2)kubectl proxy访问方式3)curl访问方式(https)4)postman访问方式5)使用证书认证访问方式(https)四、通过API接口增删改查1)namespace2)Pod3)Node3)Service 一、概述 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。
k8s获取apiserver token命令
学亮编程手记
09-05 1109
【代码】k8s获取apiserver token命令。
如何使用curl访问k8sapiserver
阿里云云栖号
06-24 5784
使用TOKEN授权访问api-serverk8s运维场景中比较常见, apiserver有三种级别的客户端认证方式 1,HTTPS证书认证:基于CA根证书签名的双向数字证书认证方式 2,HTTP Token认证:通过一个Token来识别合法用户 3,HTTP Base认证:通过用户名+密码的认证方式 通常的运维场景使用第二种Token较为方便Token的权限是关联service acc...
k8s-apiserver工作原理
神圣坤的博客
06-16 3227
公众号关注「SY技术小站」设为「星标」,每天带你分享技术与生活!API Serverkube-apiserverKubernetes 最重要的核心组件之一,主要提供以下的功能提供...
k8s.gcr.io/kube-apiserver:v1.12.2
11-01
使用方法请关注blog: https://blog.csdn.net/wenwst docker load < kube-apiserver.v1.12.2.tar docker tag 51a9c329b7c5 k8s.gcr.io/kube-apiserver:v1.12.2
安装k8s 1.28 所需的离线镜像包
03-19
部署k8s1.28集群所需离线镜像包,已经为大家准备好了,大家有需要可以自行下载,下载后部署的方法,在主页k8s专栏的文章中有详细说明,如果大家有疑问可以查看文章,或者私信我,我会尽快回复,谢谢大家 registry....
k8s.gcr.io/kube-apiserver:v1.17.3镜像包
03-06
kubernetesk8s.gcr.io/kube-apiserver:v1.17.3镜像包,版本为v1.17.3。文件是kube-controller-manager_v_1_17.3.tar
安装k8s 1.24.0
08-19
利用kubeadm安装k8s 1.24.0
k8s相关常用语句
QQ563627436的博客
05-11 655
查连的是哪个数据库:kubectl logs -f --tail=500000 phoenix-trade-a1e3d-9c4f897c7-xb26g -n sit-jd20230721zh | grep dbId=看实时日志: kubectl logs -f --tail=500000 ${pod的名称} -n ${命名空间}(pod的名称就像这样的:cif-sit-gp20230519go-6bf7bd4c99-948pc)
记录一次失败的本地K8S集群安装记录
常备不懈
05-18 804
在Ubuntu上从头开始搭建KubernetesK8s)集群需要进行几个步骤,包括安装必要的软件、配置集群节点、初始化主节点和添加工作节点。
Kubernetes 之 Pod 标签、节点选择器和节点亲和性
千度阿三的博客
05-18 317
我们在创建 Pod 资源的时候,Pod 会根据 Scheduler 进行调度,默认会调度到随机的一个工作节点。如果我们想要将 Pod 调度到指定节点或者调度到一些具有相同特点的 Node 节点,可以使用 Pod 中的nodeName或者字段来指定要调度到的 Node 节点。节点亲和性是 Pod 在调度过程中一系列调度约束规则,主要针对节点选择器的匹配,匹配度越高,则该节点执行该 Pod 的概率就越高。节点亲和性分为硬亲和性和软亲和性,硬亲和性代表必须满足,软亲和性在不满足约束规则的条件上,仍可以随机启动。
Kubernetes 之 Pod 之间的亲和性与反亲和性
千度阿三的博客
05-18 301
Pod 反亲和性是与亲和性完全相反的定义,一旦发现它的约束条件匹配,那么这个 Pod 比与匹配 Pod 在不同的上的工作节点上。它主要可以用来保障不是热点区域和不需要高性能响应但很重要的业务不受干扰。
kubernetes】二进制部署k8s集群之cni网络插件flannel和calico工作原理(中)
2301_81307988的博客
05-14 752
部署网络组件部署 flannel。
k8s pvc pending waiting for first consumer to be created before binding
weixin_40548182的博客
05-21 7
使用WaitForFirstConsumer的StorageClass创建PV失败,PVC Event提示persistentvolume-controller waiting for first consumer to be created before binding。所以使用nodeName创建的Pod,无法使用WaitForFirstConsumer的StorageClass。是否存在引用当前PVC的Pod,若没有,则需要创建。PVC未检测到Pods被调度到的节点。创建使用当前PVC的Pod。
k8s 二进制安装 详细安装步骤
wyq2070857323的博客
05-15 614
etcd是CoreOS团队于2013年6月发起的开源项目,它的目标是构建一个高可用的分布式键值(key-value)数据库。etcd内部采用raft协议作为一致性算法,etcd是go语言编写的。关闭防火墙 关闭selinux 关闭swap 根据规划设置主机名做域名映射 调整内核参数 时间同步。
K8s 部署prometheus
最新发布
go|Python的个人博客
05-21 218
可以通过添加storageClass 配置来实现 prometheus-prometheus.yaml 文件中的配置来实现持久化。kube-prometheus 是 github 上开源的整合了 prometheus alertmanager granfana 等监控工具的项目,除此之外,还可以选择修改 prometheus、alertmanager、grafana 中的 spec.type 为 NodePort 方便测试访问。默认的镜像基本上都是国外的源,国内访问不到,需要替换一下镜像id。
k8s启用 API server 认证
05-17
Kubernetes 中,API Server 是集群中的控制中心,所有的 Kubernetes API 调用都通过 API Server 进行。API Server 认证是 Kubernetes 中非常重要的一环,它确保了只有经过身份验证的用户才能够访问 Kubernetes API,并限制了用户能够访问的资源和操作。 Kubernetes 支持多种认证方式,例如 X.509 证书、Token、基于 HTTP Header 的认证等。下面我们以 X.509 证书认证为例,介绍如何启用 API Server 认证: 1. 生成证书和私钥 首先,需要使用 OpenSSL 工具生成证书和私钥。可以使用以下命令生成一个自签名的证书和私钥: ``` openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout tls.key -out tls.crt -subj "/CN=kube-apiserver" ``` 该命令生成一个有效期为 365 天的自签名证书和私钥,可以使用 -subj 参数指定证书的主题(这里指定为 kube-apiserver)。 2. 配置 API Server 启用 API Server 认证需要在 kube-apiserver 的启动参数中添加以下配置项: ``` --tls-cert-file=<path/to/tls.crt> --tls-private-key-file=<path/to/tls.key> --client-ca-file=<path/to/ca.crt> --authentication-mode=x509 ``` 其中,--tls-cert-file 和 --tls-private-key-file 分别指定 TLS 证书和私钥的路径,--client-ca-file 指定用于验证客户端证书的 CA 证书的路径,--authentication-mode 设置认证方式为 x509。 3. 配置 kubectl 为了使用证书进行认证,需要在 kubectl 的配置文件中添加以下配置项: ``` apiVersion: v1 kind: Config clusters: - name: my-cluster cluster: certificate-authority: /path/to/ca.crt users: - name: my-user user: client-certificate: /path/to/tls.crt client-key: /path/to/tls.key contexts: - name: my-context context: cluster: my-cluster user: my-user current-context: my-context ``` 其中,certificate-authority 指定用于验证服务器证书的 CA 证书的路径,client-certificate 和 client-key 分别指定客户端证书和私钥的路径。 4. 测试认证 完成上述步骤后,可以使用 kubectl 命令测试认证是否生效。例如,使用以下命令查看所有的 Pod: ``` kubectl get pods ``` 如果认证配置正确,则应该能够成功列出 Pod。如果认证失败,则会提示需要提供证书和私钥。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值