通过kube-apiserver访问K8s集群中的App

已于 2024-05-26 13:53:50 修改
阅读量1.8k 收藏 34
点赞数 41
文章标签: kubernetes 容器 云原生
于 2024-01-14 12:01:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sbe092811/article/details/135581475
版权

提到K8s集群里面的容器,有几种访问方法:

LoadBalancer
Ingress
ClusterIP
NodePort
这里就不再分析,直接看如何通过Kube-apiserver来访问容器里面的App。下图(5)

一、启动App
创建文件ng-dp.yaml,内容如下:
 

apiVersion: apps/v1
 
kind: Deployment
 
metadata:
 
name: nginx-deployment
 
labels:
 
app: nginx
 
spec:
 
replicas: 1
 
selector:
 
matchLabels:
 
app: nginx
 
template:
 
metadata:
 
labels:
 
app: nginx
 
spec:
 
containers:
 
- name: nginx
 
image: nginx:stable-perl
 
ports:
 
- containerPort: 80

执行命令:

kubectl apply -f ng-dp.yaml

这样会启动一个nginx容器,并在容器里面监听80端口。

二、设置svc访问

创建文件ng-svc.yaml,内容如下:

apiVersion: v1
 
kind: Service
 
metadata:
 
name: my-nginx
 
spec:
 
ports:
 
- port: 80
 
protocol: TCP
 
selector:
 
app: nginx

执行命令:

kubectl apply -f ng-svc.yaml

这样就会为App开启集群内可访问的svc通道。

kubectl get svc
 
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
 
kubernetes ClusterIP 10.247.0.1 <none> 443/TCP 7d
 
my-nginx ClusterIP 10.247.124.234 <none> 80/TCP 4h4m

有了svc后,我们就可以通过Kube-apiserver访问该App了。

三、访问App

查询Kube-apiserver的地址:

kubectl cluster-info
 
Kubernetes control plane is running at https://192.168.0.116:5443
 
CoreDNS is running at https://192.168.0.116:5443/api/v1/namespaces/kube-system/services/coredns:dns/proxy

1)通过token方式访问:

查询sa(service-account)

kubectl get sa
 
NAME SECRETS AGE
 
default 1 7d

然后查询sa内容

kubectl describe sa default
 
Name: default
 
Namespace: default
 
Mountable secrets: default-token-vztbc
 
Tokens: default-token-vztbc
接着查询secret内容,获得token值。

kubectl describe secret default-token-vztbc
 
Name: default-token-vztbc
 
Namespace: default
 
Type: kubernetes.io/service-account-token
 
====
 
token: eyJhbGciOiJSUzI1NiIsImtpZCI6InJlRWUxSFpvektO <== 取这个内容
设置env后,就可以访问App了

export TOKEN=eyJhbGciOiJSUzI1NiIsImtpZCI6InJlRWUxSFpvektO
 
curl --noproxy '*' -kv -H "Authorization: Bearer $TOKEN" \
 
https://192.168.0.116:5443/api/v1/namespaces/default/services/http:my-nginx:80/proxy/
如果权限不够,说明要提高sa的权限,比如:

kubectl create clusterrolebinding sa-tsj --clusterrole=cluster-admin --serviceaccount=default:default
2)通过证书方式访问:
除了获取token,也可以直接配置证书方式来访问。我们从kubeconfig文件里面,取出对应的证书。

grep -A1 'client-certificate-data: ' /root/.kube/config | tail -n 1 | sed 's/ *//' | base64 -d >cert.pem
 
grep -A1 'client-key-data: ' /root/.kube/config | tail -n 1 | sed 's/ *//' | base64 -d >key.pem
 
grep -A1 'certificate-authority-data: ' /root/.kube/config | tail -n 1 | sed 's/ *//' | base64 -d >ca.pem
然后,配置证书后访问:

curl --noproxy '*' -kv --cacert ./ca.pem --key ./key.pem --cert ./cert.pem \
 
https://192.168.0.116:5443/api/v1/namespaces/default/services/http:my-nginx:80/proxy/
四、URL格式说明
Kube-apiserver提供代理URL格式如下:

http://api_addr/api/v1/namespaces/namespace_name/services/service_name/proxy
其中,你可以将App的url后缀,parameter参数等附加到尾部。如:

http://api_addr/api/v1/namespaces/namespace_name/services/service_name[:port_name]/proxy
如果没有指定「端口名」,也可以使用「端口号」,如:

http://api_addr/api/v1/namespaces/namespace_name/services/service_name[:port_num]/proxy
反正不管有没有指定「端口名」,用「端口号」肯定是可以的。

默认情况, Kube-apiserver是使用http来访问你的App,如果要使用https的话,则要指定,如下:

http://api_addr/api/v1/namespaces/namespace_name/services/https:service_name:[port_name]/proxy
所有支持的proxy的URL格式总结如下:

<service_name> - 使用http访问默认的端口

<service_name>:<port_name> - 使用http访问指定的端口

<service_name>:<port_number> - 使用http访问指定的端口

https:<service_name>: - 使用https访问默认的端口(注意有个冒号)

https:<service_name>:<port_name> - 使用https访问指定的端口

五、有什么用?
很多时候,K8s集群里面App的访问,都是只能通过「数据面」访问(无论是ClusterIP,NodePort,Ingress等),比如要从互联网访问,就得靠绑定EIP来完成。但是如果「管理面」也能访问到App的话,我们就可以设计一种“代理模式”,通过复用管理面通道,提供App的默认访问能力。这样你的用户,不用额外绑定EIP也能访问他的App。

神奇的博客
关注
  • 41
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
k8s源码分析-Apiserver-1】理解 apiserver 的结构(AggregatorServerKubeAPIServerApiExtensionsServer
叮当猫的喵i
12-06 416
Prometheus 项目与Kubernetes项目一样,也来自于 Google 的Borg体系,它的原型系统,叫作 BorgMon,是一个几乎与 Borg 同时诞生的内部监控系统。而 Prometheus 项目的发起原因也跟 Kubernetes 很类似,都是希望通过对用户更友好的方式,将 Google 内部系统的设计理念,传递给用户和开发者。作为一个监控系统,Prometheus 项目的作用和工作方式,其实可以用如下所示的一张官方示意图来解释。可以看到,Prometheus 项目工作的核心,是。
k8s 如何查看 node 所使用的 API Server 地址
linus.lin的博客
04-22 3632
在一些部署比较长久的集群,有一天我们想查看一下node 所使用的 API Server 地址。那么我们怎么查看呢? 可以在 kubelet 的配置文件 kubelet.conf 可以查看到 命令如下: cat /etc/kubernetes/kubelet.conf | grep server server: https://k8s-api:6443 ...
k8s学习笔记(7)--- kubernetes核心组件之apiserver详解
梦谜的博客
01-05 4295
kubernetes核心组件之apiserver详解1、API Server简介1.1 API Server的功能1.2 kube-apiserver工作原理1.3 访问kubernetes API1.4 API server集群模块的交互1.4.1 API Serverkubelet的交互1.4.2 API Serverkube-controller-manager交互1.4.3 API...
k8s组件说明:api server
学亮编程手记
06-13 391
api server:是所有服务访问的统一入口 包括kubelet和kube proxy都要访问
Kubernetesk8sAPI Server详解
匠人精神,持之以恒!
10-31 9971
文章目录一、概述二、K8s REST API 设计思想三、API 访问1)kubectl 命令行访问方式2)kubectl proxy访问方式3)curl访问方式(https)4)postman访问方式5)使用证书认证访问方式(https)四、通过API接口增删改查1)namespace2)Pod3)Node3)Service 一、概述 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据心。
Docker+K8S 集群环境搭建及分布式应用部署
09-29
然后,我们安装 Kubernetes 并配置相关服务,例如 kube-apiserverkube-controller-manager、kube-scheduler 等,最后启动和启用这些服务。 在Kubernetes,为了实现跨节点的网络通信,我们需要设置网络插件。...
k8s部署prometheus的镜像
03-23
Kubernetesk8s集群部署Prometheus是一个常见的监控解决方案,Prometheus是一款强大的开源监控和警报系统,能够实时收集和分析时间序列数据。本文将详细介绍如何在k8s环境部署Prometheus的镜像。 一、...
kube-azure-servicebus-autoscaler:基于Azure Service Bus队列大小的Kubernetes Pod自动缩放器
01-29
将其作为集群服务部署在集群 部署kube-azure-servicebus-autoscaler 部署kube-azure-servicebus-autoscaler应该与应用此部署一样简单: --- apiVersion : extensions/v1beta1 kind : Deployment metadata : ...
K8s外部网络访问之NodePort资源附件
10-22
用户不能选择此范围之外的端口,除非修改了kube-apiserver的配置。 2. **无负载均衡**:NodePort不提供负载均衡功能,所有流量都将直接发送到被请求的节点。对于多节点集群,可能需要使用其他服务类型如LoadBalancer...
k8s核心指标API Metrics-Server部署指南!
10-14
Heapster是容器集群监控和性能分析工具,HPA、Dashborad、Kubectl top都依赖于heapster收集的数据。 但是Heapster从kubernetes 1.8以后已经被遗弃了...... 被metrics-server所替代......
centos7kubeadm方式搭建k8s集群(crio+calico)(k8s v1.21.0)所需文件.zip
09-03
在本教程,我们将深入探讨如何使用`kubeadm`在CentOS 7上构建一个基于Kubernetesk8s)v1.21.0的集群,并结合cri-o容器运行时和Calico网络策略。`kubeadm`是官方推荐的Kubernetes集群初始化工具,它简化了集群的...
k8s实践(6)--Kubernetes安全:API Server访问控制
黄规速博客:学如逆水行舟,不进则退
06-16 3226
Kubernetes安全 安全永远是一个重大的话题,特别是云计算平台,更需要设计出一套完善的安全方案,以应对复杂的场景。 Kubernetes主要使用Docker作为应用承载环境,Kubernetes首先设计出一套API和敏感信息处理方案,当然也基于Docker提供容器安全控制。以下是Kubernetes的安全设计原则: 1. 保证容器与其运行的宿主机之间有明确的隔离 2. 限制容器对基础设施...
容器内获得apiserver地址
SHELLCODE_8BIT的博客
10-05 160
1.容器的Env的KUBENETES_SERVICE_HOST字段。
k8s API Server授权管理
zhangshaohuas的博客
07-30 1373
目录授权策略1. ABAC授权模式详解1.1访问策略对象(1)主体属性(2)资源属性(3)非资源属性1.2 ABAC授权算法1.3 使用kubectl时的授权机制1.4 常见的ABAC授权示例1.5 对Service Account进行授权2.Webhook授权模式详解 当客户端发起API Server调用时,API Server内部要: 先进行用户认证 然后执行用户授权流程,即通过授权策略来决定一个API调用是否合法。 对合法用户进行授权并且随后在用户访问时进行鉴权,是权限与安全系统的重要一环。 简单
k8s流控平台apiserver详解
最新发布
m0_51586984的博客
06-28 1279
panic处理,不会因为某个携程panic干掉进程audit 审计的必要性impersonation暂时理解为一大堆k8s集群, 开始做数据传输是http协议,header过来的时候加一点信息,集群联邦过来的时候改一点信息max-in-flight:做限流的,多少在路上,上限是多少,是否拒绝鉴权kube-aggregator&crds这里是判断request是不是标准的k8s对象,是的话,判断不是的话json做反序列化为go的对象做conversion。
Kubernetes_APIServer_证书_02_K8S内部交互架构和所有证书
毛毛的专栏
03-12 1660
所有证书作用
kubernetes 核心组件之 APIServer
看,未来的博客
06-02 1815
APIServer 的重要性不言而喻。kube-apiserver作为整个Kubernetes集群操作etcd的唯一入口,负责Kubernetes各资源的认证&鉴权,校验以及CRUD等操作,提供RESTful APIs,供其它组件调用: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd);提供准入控制的功能;拥有完备的集群安全机制.如图所示,Api
K8SApiServer的通信原理
weixin_45813033的博客
03-02 3455
K8SApiServer的通信原理 ApiServer的主要功能是 对k8s集群的资源进行CRUD操作,所有的对k8s集群的操作必须通过ApiServerApiServer通过对外提供restful类型的接口向外发布服务;内部kubectl命令也是通过ApiServer执行。其实ApiServer是通过一个名为kube-apiServer的Service提供服务的,也就是说ApiServer本质上就是一个Service,这样就可以很好的解释了如果存在多个master节点,ApiService提供服务的
排查k8s dns解析以及kube proxy问题
07-16
要排查Kubernetes的DNS解析和kube-proxy问题,可以按照以下步骤进行: 1. 检查DNS配置:首先,请确保Kubernetes集群的DNS配置正确。可以使用以下命令检查kube-dns或coredns的Pod是否正在运行: ``` kubectl get pods -n kube-system -l k8s-app=kube-dns ``` 如果Pod没有处于运行状态,可以使用以下命令查看它们的详细信息: ``` kubectl describe pod -n kube-system <kube-dns-pod-name> ``` 确保DNS Pod没有任何错误或异常,并且它们的IP地址集群其他组件的IP地址是可访问的。 2. 检查DNS解析配置:确保你的Service和Pod的DNS配置正确。可以使用以下命令检查Service和Pod的DNS名称是否正确解析为IP地址: ``` kubectl run -it --rm --restart=Never busybox --image=busybox:1.31 nslookup <service-name> ``` 这将在一个临时Pod执行nslookup命令来检查DNS解析情况。 3. 检查kube-proxy配置:确认kube-proxy的配置正确,并且它正在正常运行。可以使用以下命令检查kube-proxy的状态: ``` kubectl get pods -n kube-system -l k8s-app=kube-proxy ``` 如果kube-proxy Pod没有处于运行状态,可以使用以下命令查看它们的详细信息: ``` kubectl describe pod -n kube-system <kube-proxy-pod-name> ``` 确保kube-proxy没有任何错误,并且它正在监听正确的网络接口。 4. 检查网络策略和防火墙:如果你启用了网络策略(NetworkPolicy),请确保它允许从源Pod访问目标Pod的DNS。另外,检查防火墙规则是否允许DNS流量通过。 这些步骤可用于排查Kubernetes的DNS解析和kube-proxy问题。如果问题仍然存在,请提供更多详细信息,以便我能够提供更准确的帮助。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值