k8s学习笔记(7)--- kubernetes核心组件之apiserver详解

最新推荐文章于 2024-07-23 14:11:52 发布
最新推荐文章于 2024-07-23 14:11:52 发布
阅读量4.6k 收藏 14
点赞数 1
CC 4.0 BY-SA版权
分类专栏: k8s基础知识 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42987484/article/details/103841739
k8s API Server作为集群核心,提供资源对象的CRUD接口,实现认证授权、集群状态变更。它与kubelet、kube-scheduler、kube-controller-manager交互,通过REST API与集群模块通信。API Server通过安全端口6443和本地端口8080提供服务,支持多种认证、授权和准入控制策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kubernetes核心组件之apiserver详解

1、API Server简介

        k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心

1.1 API Server的功能

  • 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);
  • 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd);
  • 是资源配额控制的入口
  • 拥有完备的集群安全机制;

1.2 kube-apiserver工作原理

        kube-apiserver提供了k8s的rest api,实现了认证、授权和准入控制等安全功能,同时也负责了集群状态的存储操作

  • rest api
            kube-apiserver支持同时提供https和http api,其中http api是非安全接口,不做任何认证授权机制,不建议生产环境启用,但两个接口提供的rest api格式相同。
    • https api 默认监听在6443端口(–secure-port=6443);
    • http api 默认监听在127.0.0.1的8080端口(使用参数 --insecure-port=8080);
  • 访问控制说明
            k8s api 每个请求都会经过多阶段的访问控制才会被接受,包括认证、授权及准入控制等。
    • 认证
              开启TLS情况下,所有请求都需要首先认证。k8s支持多种认证机制,并且支持同时开启多个认证插件(仅一个认证通过即可),如认证成功,则用户的username会传入授权模块做进一步的授权验证,而认证失败的请求则返回http 401 。
    • 授权
              认证之后的请求就到了授权模块,和认证类似,k8s也支持多种授权机制,并支持同时开启多个授权插件(仅一个验证通过即可)。如授权成功,则用户的请求会发送到准入控制模块做进一步的请求验证,失败的请求则返回http403。
    • 准入控制
              用来对请求做进一步的验证或添加默认参数,不同于认证和授权只关心请求的用户和操作,准入控制还会处理请求的内容,并且仅对创建、更新、删除或连接(如代理)等有效,而对读操作无效。准入控制也支持同时开启多个插件,但他们是依次调用的,只有全部插件都通过的请求才可以允许进入系统。

        kube-apiserver工作原理图如下:
在这里插入图片描述

1.3 访问kubernetes API

        k8s通过kube-apiserver这个进程提供服务,该进程运行在单个k8s-master节点上,默认有两个端口

  • 本地端口
    1.该端口用于接收HTTP请求;
    2.该端口默认值为8080,可以通过API Server的启动参数“–insecure-port”的值来修改默认值;
    3.默认的IP地址为“localhost”,可以通过启动参数“–insecure-bind-address”的值来修改该IP地址;
    4.非认证或授权的HTTP请求通过该端口访问API Server;
  • 安全端口
    1.该端口默认值为6443,可通过启动参数“–secure-port”的值来修改默认值;
    2.默认IP地址为非本地(Non-Localhost)网络端口,通过启动参数“–bind-address”设置该值;
    3.该端口用于接收HTTPS请求;
    4.用于基于Tocken文件或客户端证书及HTTP Base的认证;
    5.用于基于策略的授权;
    6.默认不启动HTTPS安全访问控制

1 直接访问api

        通过本地8080端口使用curl命令能直接获取REST api的信息,例如:

查看版本:
       curl  127.0.0.1:8080/api
查看支持的资源对象:
       curl  127.0.0.1:8080/api/v1
查看资源对象信息:
       curl  127.0.0.1:8080/api/v1/nodes
       curl  127.0.0.1:8080/api/v1/pods
       curl  127.0.0.1:8080/api/v1/services
       curl  127.0.0.1:8080/api/v1/replicationcontrollers
具体到某一个具体的对象:
       curl 127.0.0.1:8080/api/v1/nodes/10.0.0.3
指定不同namespace中的对象进行访问:
       curl  http://127.0.0.1:8080/api/v1/namespaces/default/services/php-apache
直接访问后端服务内容: 
       curl  http://127.0.0.1:8080/api/v1/namespaces/default/services/http:tomcat-service:/proxy/
       curl  http://127.0.0.1:8080/api/v1/namespaces/default/services/http:php-apache:/proxy/
其他的API信息: 
       curl 127.0.0.1:8080/apis/batch/v1

2 Kubernetes Proxy

        Kubernetes Proxy主要用于代理REST请求。 可以通过这种代理方式将API Server收到的REST请求转发到某个Node上的kubelet上,由Kubelet负责响应。

        创建一个Proxy 接口(此处创建一个监听本地10.0.0.1上的8001端口):

kubectl proxy --port=8001 --accept-hosts=‘.*‘ --address=‘10.0.0.1‘ &

        如果需要对访问的资源和源地址进行限制,可以使用正则进行匹配,限制对services进行访问:

 kubectl  proxy --port=8001  --accept-hosts=‘.*‘  --address=10.0.0.1  --reject-paths=‘^/api/v1/services‘

        通过此端口可以在外部直接访问此api代理,在新的版本中,访问方式和常规访问的URL一致:

curl  http://10.0.0.1:8001/api/v1/pods
curl  http://10.0.0.1:8001/api/v1/nodes
curl  http://10.0.0.1:8001/api/v1/services
curl  http://10.0.0.1:8001/api/v1/replicationcontrollers
curl  http://10.0.0
最低0.47元/天 解锁文章

200万优质内容无限畅学
详解K8s API Server 如何处理请求的?
weixin_43273856的博客
05-27 452
步骤作用示例1. 接收请求解析 HTTP 请求2. 认证(Authentication)验证身份检查 Token / 证书3. 鉴权(Authorization)检查权限RBAC 角色管理4. 准入控制(Admission Control)校验 & 变更资源自动添加默认值、检查安全策略5. 存储 & 变更存入 etcd & 触发变更Scheduler 监听 Pod,分配 Node🔥API Server = K8s 的“守门员”+“审批官”+“数据库接口”!
k8s流控平台apiserver详解
m0_51586984的博客
06-28 2296
panic处理,不会因为某个携程panic干掉进程audit 审计的必要性impersonation暂时理解为一大堆k8s集群, 开始做数据传输是http协议,header过来的时候加一点信息,集群联邦过来的时候改一点信息max-in-flight:做限流的,多少在路上,上限是多少,是否拒绝鉴权kube-aggregator&crds这里是判断request是不是标准的k8s对象,是的话,判断不是的话json做反序列化为go的对象做conversion。
K8s 核心组件——API Server
最新发布
谦虚使人发胖的博客
07-23 2847
Kubernetes API Server(API Server)是 Kubernetes核心组件之一,负责暴露 Kubernetes API 给用户和客户端,接收和处理来自客户端的请求,并将其存储到 etcd 中。Kubernetes API Server 主要作用是提供 Kubernetes 各类资源对象(如 Pod、Deployment、Service等)的增、删、改、查及 Watch 等 HTTP REST 接口,是集群内各个功能模块直接数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。
Kubernetesk8s)API Server详解
匠人精神,持之以恒!
10-31 1万+
文章目录一、概述二、K8s REST API 设计思想三、API 访问1)kubectl 命令行访问方式2)kubectl proxy访问方式3)curl访问方式(https)4)postman访问方式5)使用证书认证访问方式(https)四、通过API接口增删改查1)namespace2)Pod3)Node3)Service 一、概述 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。
kubernetes 核心组件APIServer
看,未来的博客
06-02 2007
APIServer 的重要性不言而喻。kube-apiserver作为整个Kubernetes集群操作etcd的唯一入口,负责Kubernetes各资源的认证&鉴权,校验以及CRUD等操作,提供RESTful APIs,供其它组件调用: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd);提供准入控制的功能;拥有完备的集群安全机制.如图所示,Api
K8S中的ApiServer的通信原理
weixin_45813033的博客
03-02 3683
K8S中的ApiServer的通信原理 ApiServer的主要功能是 对k8s集群的资源进行CRUD操作,所有的对k8s集群的操作必须通过ApiServerApiServer通过对外提供restful类型的接口向外发布服务;内部kubectl命令也是通过ApiServer执行。其实ApiServer是通过一个名为kube-apiServer的Service提供服务的,也就是说ApiServer本质上就是一个Service,这样就可以很好的解释了如果存在多个master节点,ApiService提供服务的
k8s学习笔记(8)--- kubernetes核心组件之scheduler详解
梦谜的博客
01-18 4828
kubernetes核心组件之scheduler详解1、kube-schedule简介1.1 kubernetes scheduler 基本原理1.1.1 scheduler 调度流程1.2 scheduler 调度策略1.2.1 Predicates(预选策略)1.2.2 Priorites(优选策略)1.3 scheduler 的优先级与抢占机制1.3.1 背景1.3.2 作用1.3.3 怎么...
k8s学习笔记(11)--- kubernetes核心组件之kubelet详解
梦谜的博客
02-11 7256
kubernetes核心组件之kubelet详解一、kubelet简介二、kubelet核心功能三、kubelet启动参数 一、kubelet简介         在kubernetes集群中,每个Node节点都会启动kubelet进程,用来处理Master节点下发到本节点的任务,管理Pod和其中的容器。kubelet...
k8s学习笔记(10)--- kubernetes核心组件之controller manager详解
梦谜的博客
02-10 3477
kubernetes核心组件之controller manager详解一、Controller Manager简介1.1 Replication Controller1.2 Node Controller1.3 ResourceQuota Controller1.4 ResourceQuota Controller1.5 Endpoint Controller1.6 Service Control...
k8s学习笔记(5)--- kubernetes核心组件之etcd详解
梦谜的博客
12-29 4523
kubernetes核心组件之etcd详解一、etcd二、etcd部署1.采用etcd镜像的方式部署1.1 将服务器添加进集群的两种方式1.1.1 将服务器挨个添加进集群 一、etcd         etcd是一个高可用的键值存储系统,主要用于共享配置和服务发现。etcd是由CoreOS开发并维护的,灵感来自于 Zo...
KubernetesAPIServer组件简介
热门推荐
菲宇运维
08-21 3万+
API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。 kubernetes API Server的功能: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更); 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Se...
k8s -- APIServer(主控节点)
yanghuadong的博客
02-10 834
部署kube-apiserver集群 集群规划 主机名 角色 ip HDSS1-21.host.com kube-apiserver 192.168.16.13 HDSS1-22.host.com kube-apiserver 192.168.16.14 HDSS1-11.host.com 4层负载均衡 192.168.16.11 HDSS1-12.host.com 4层负载均衡 192.168.16.12 注意:这里192.168.1.
Kubernetes-apiserver
diankuang5558的博客
11-23 264
Kubernetes API服务器为API对象验证和配置数据,这些对象包含Pod、Service、ReplicationController等等。API Server提供REST操作以及前端到集群的共享状态,所有其他组件可以通过这些共享状态交互。 配置选项 -admission-control:集群中资源的Admission Controller的插件的有序列表,分别使用逗号分隔...
Kubernetes APIServer
小楼一夜听春雨,深巷明朝卖杏花
03-17 525
APIServer kube-APIServerKubernetes 最重要的核心组件之一,主要提供以下的功能: 提供集群管理的 REST API 接口,包括: • 认证 Authentication • 授权 Authorization • 准入 Admission(Mutating & Valiating) 下面可以看到etcd就一根线连出来了,连到了apiserver,所以apiserver是整个集群的核心,......
Kubernetes核心原理(一)之API Server
胡伟煌的博客
07-21 1万+
1. API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。 kubernetes API Server的功能: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);提供其他模块之间的数据交互和通信的枢纽(其他模块通
Kubernetes_APIServer_APIServer简介
weixin_37085241的博客
07-14 1241
文章目录一、前言二、APIServer概要三、APIServer中的接口3.1 kubectl与APIServer之间是REST调用3.2 查看yaml文件中的apiVersion3.3 APIServer 中的 Restful 风格接口3.4 APIServer中的 API 路径3.5 kube-apiserver 的...
云原生之Kubernetes:17.详解Apiserver和RBAC
LQ的博客
09-01 416
详解Apiserver和RBAC!
k8s-API server原理分析
hahachenchen789的博客
06-09 1万+
我们都知道, k8s的API server核心功能是提供了k8s各类资源对象(Pod,RC,service)的增,删,改,查及HTTP REST接口。 server是通过一个名为kube-apiserver的进程提供服务。该进程运行在master节点上,默认情况下,在本机8080端口提供REST服务。 通常我们可以通过命令行工具kubectl来与API server交互。它们之间的接口是RES...
8.k8s主控节点-k8s-apiserver
sirius
05-31 385
k8s主控节点-k8s-apiserver 一、证书准备 node200环境 etcd client证书 vi k8s-node-client-csr.json { "CN": "k8s-node-client", "hosts": [ ], "key": { "algo": "rsa", "size": 2048 }, "name": [ { "C": "CN",
Kubernetes学习笔记:搭建与关键组件详解
包括设置Etcd集群(存储k8s的状态信息),配置Flannel网络插件以实现集群内的网络互通,以及在Master和Node上安装和配置Kubernetes服务(如kube-apiserver、kube-scheduler、kube-controller-manager)和kubelet、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值