[k8s]api访问初探

来源:互联网 发布:java ch1 ch2是什么 编辑:程序博客网 时间:2024/06/05 10:52

api日志的展示

  • 手工二进制安装的,可以看到api的日志:
[root@node131 ~]# systemctl status kube-apiserver● kube-apiserver.service - Kubernetes API Server   Loaded: loaded (/etc/systemd/system/kube-apiserver.service; enabled; vendor preset: disabled)   Active: active (running) since Tue 2017-07-25 23:07:53 CST; 2 weeks 6 days ago     Docs: https://github.com/GoogleCloudPlatform/kubernetes Main PID: 2674 (kube-apiserver)   Memory: 579.5M   CGroup: /system.slice/kube-apiserver.service           └─2674 /root/local/bin/kube-apiserver --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota --advertise-address=192.168.6.131 --b...Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.086416    2674 wrap.go:75] GET /api/v1/namespaces/kube-system/endpoints/kube-controller-manager: (1.5200....131:48934]Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.086598    2674 wrap.go:75] GET /api/v1/namespaces/kube-system/endpoints/kube-scheduler: (2.011744ms) 200....131:48610]Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.090009    2674 wrap.go:75] PUT /api/v1/namespaces/kube-system/endpoints/kube-scheduler: (2.796268ms) 200....131:48610]Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.090601    2674 wrap.go:75] PUT /api/v1/namespaces/kube-system/endpoints/kube-controller-manager: (3.3390....131:48934]Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.134976    2674 wrap.go:75] GET /api/v1/nodes?resourceVersion=10144624&timeoutSeconds=492&watch=true: (8m....131:48817]Aug 15 13:13:09 node131.pp100.net kube-apiserver[2674]: I0815 13:13:09.135968    2674 rest.go:320] Starting watch for /api/v1/nodes, rv=10145391 labels= fields= timeout=6m32s
  • 如果是ansible安装的,那么要看到日志,则要kubectl logs -f kube-apiserver -n kube-system

注: 它们默认是打印在console里的,也可以设置打印在某个文件里,k8并可配置参数自动切割log

api的查看

Kubernetes API概述

Kubernetes API是集群系统中的重要组成部分,Kubernetes中各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)中,Kubernetes集群中的各部件之间通过该API接口实现解耦合,同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kubernetes API中的资源对象都拥有通用的元数据,资源对象也可能存在嵌套现象,比如在一个Pod里面嵌套多个Container。创建一个API对象是指通过API调用创建一条有意义的记录,该记录一旦被创建,Kubernetes将确保对应的资源对象会被自动创建并托管维护。

在Kubernetes系统中,大多数情况下,API定义和实现都符合标准的HTTP REST格式, 比如通过标准的HTTP动词(POST、PUT、GET、DELETE)来完成对相关资源对象的查询、创建、修改、删除等操作。但同时Kubernetes 也为某些非标准的REST行为实现了附加的API接口,例如Watch某个资源的变化、进入容器执行某个操作等。另外,某些API接口可能违背严格的REST模式,因为接口不是返回单一的JSON对象,而是返回其他类型的数据,比如JSON对象流(Stream)或非结构化的文本日志数据等。

Kubernetes开发人员认为,任何成功的系统都会经历一个不断成长和不断适应各种变更的过程。因此,他们期望Kubernetes API是不断变更和增长的。同时,他们在设计和开发时,有意识地兼容了已存在的客户需求。通常,新的API资源(Resource)和新的资源域不希望被频繁地加入系统。资源或域的删除需要一个严格的审核流程。

  • 通过命令行
[root@no161 manifests]# kubectl api-versions apps/v1beta1authentication.k8s.io/v1authentication.k8s.io/v1beta1authorization.k8s.io/v1authorization.k8s.io/v1beta1autoscaling/v1batch/v1batch/v2alpha1certificates.k8s.io/v1beta1extensions/v1beta1policy/v1beta1rbac.authorization.k8s.io/v1alpha1rbac.authorization.k8s.io/v1beta1settings.k8s.io/v1alpha1storage.k8s.io/v1storage.k8s.io/v1beta1v1
  • 通过浏览器
    k8s-api

  • 通过k8s自带的swagger

k8s-swagger
要看到这个,需要开启api相关参数

KUBE_API_ARGS="--service-node-port-range=30000-32767 --enable-swagger-ui=true --apiserver-count=3 --audit-log-maxage=30 --audit-log-maxbackup=3 --audit-log-maxsize=100 --audit-log-path=/var/log/k8s/audit.log --event-ttl=1h"

apiserver认证授权准入

https://www.kubernetes.org.cn/1995.html

对于安全端口来讲,一个 API 请求到达 6443 端口后,主要经过以下几步处理:
• 认证
• 授权
• 准入控制
• 实际的 API 请求

api启动参数:
api启动参数

  • Authentication verifies who you are.

    • httpbase
    • http token
    • 证书
    • 认证: anonymous-auth=True
  • Authorization verifies what you are authorized to do.

    • AlwaysDeny:表示拒绝所有的请求,该配置一般用于测试
    • AlwaysAllow:表示接收所有请求,如果集群不需要授权,则可以采取这个策略
    • ABAC:基于属性的访问控制,表示基于配置的授权规则去匹配用户请求,判断是否有权限。Beta 版本
    • RBAC:基于角色的访问控制,允许管理员通过 api 动态配置授权策略。Beta 版本
  • 准入控制器

    • AlwaysAdmit:允许所有请求
    • AlwaysDeny:拒绝所有请求
    • AlwaysPullImages:在启动容器之前总是去下载镜像
    • ServiceAccount:将 secret 信息挂载到 pod 中,比如 service account token,registry key 等
    • ResourceQuota 和 LimitRanger:实现配额控制
    • SecurityContextDeny:禁止创建设置了 Security Context 的 pod