Kubernetes API Server核心解析
Kubernetes API Server作为整个系统的核心组件,提供了对各类资源对象(如Pod、Service等)的增删改查及Watch功能的HTTP Rest接口,承担了系统中数据交互与状态管理的重要职责。
一、API Server的功能
API Server的主要功能包括:
- 提供集群管理的REST API接口,支持认证授权、数据校验以及集群状态变更操作。
- 担任模块间数据通信的枢纽,其他组件通过API Server与etcd进行交互。
- 实现资源配额控制。
- 提供全面的集群安全机制。
工作原理图
二、访问Kubernetes API的方式
API Server运行在单个master节点上,默认提供两个端口用于不同类型的请求。
1. 非安全端口
- 默认监听8080端口,可通过
--insecure-port参数修改。 - 默认绑定地址为
localhost,可使用--insecure-bind-address参数更改。 - 支持未认证的HTTP请求。
2. 安全端口
- 默认监听6443端口,可通过
--secure-port参数修改。 - 默认绑定非本地网络地址,可通过
--bind-address设置。 - 支持HTTPS请求,基于Token、客户端证书或HTTP Basic认证。
- 支持基于策略的授权机制。
3. 访问方式
(1) 使用curl命令
curl localhost:8080/api
curl localhost:8080/api/v1/pods
curl localhost:8080/api/v1/services
(2) 使用kubectl proxy
启动代理后,可通过本地端口访问API:
kubectl proxy --port=8080 &
(3) 使用kubectl客户端
通过命令行工具调用API Server的REST接口,例如:
kubectl get pods
kubectl describe services
(4) 编程调用
通过官方提供的Client Library(如client-go)实现对API Server的编程访问。
三、通过API Server访问Node、Pod和Service
除了常规的资源管理接口外,API Server还提供了一类特殊的Proxy API接口,用于代理请求到目标Node上的kubelet进程。
1. Node相关接口
以下路径可用于访问Node的信息:
GET /api/v1/proxy/nodes/{name}/pods # 列出节点上的所有Pod
GET /api/v1/proxy/nodes/{name}/stats # 获取节点资源统计信息
GET /api/v1/proxy/nodes/{name}/spec # 获取节点规格信息
如果启用了调试功能(--enable-debugging-handles=true),还可以访问更多接口:
POST /api/v1/proxy/nodes/{name}/run # 在节点上运行容器
POST /api/v1/proxy/nodes/{name}/exec # 在容器内执行命令
POST /api/v1/proxy/nodes/{name}/attach # Attach到容器
POST /api/v1/proxy/nodes/{name}/portForward # 端口转发
GET /api/v1/proxy/nodes/{name}/logs # 查看日志
GET /api/v1/proxy/nodes/{name}/metrics # 获取性能指标
2. Pod相关接口
通过以下路径访问Pod的服务接口:
GET /api/v1/proxy/namespaces/{namespace}/pods/{name}/{path:*}
GET /api/v1/proxy/namespaces/{namespace}/pods/{name}
3. Service相关接口
访问Service的代理接口:
GET /api/v1/proxy/namespaces/{namespace}/services/{name}
四、集群功能模块间的通信
API Server作为集群的核心,负责协调各功能模块之间的通信。
1. kubelet与API Server
每个Node上的kubelet会定期向API Server报告状态,并通过Watch接口监听Pod的变化:
| 监听事件 | 动作 | 备注 |
|---|---|---|
| 新建Pod | 创建并启动容器 | - |
| 删除Pod | 删除对应容器 | - |
| 修改Pod | 更新容器配置 | - |
2. kube-controller-manager
Node Controller模块通过Watch接口实时监控Node的状态,并根据需要触发相应操作。
3. kube-scheduler
Scheduler通过Watch接口监听新建Pod的信息,检索符合条件的Node列表,并将Pod绑定到目标节点。
4. 缓存机制
为了减少API Server的压力,各模块通常会缓存资源信息。例如,定时通过LIST/WATCH方法获取数据,并存储到本地缓存中,从而减少直接访问API Server的频率。
