Copyright © 1998-2023 maxiaoke.com All rights reserved.

当前位置:  首页>> 技术小册>> Kubernetes中文教程(五)

小册名称:Kubernetes中文教程(五)

本页展示了如何使用 Kubernetes API 访问集群

使用 kubectl 进行首次访问

首次访问 Kubernetes API 时,请使用 Kubernetes 命令行工具 kubectl

要访问集群,你需要知道集群位置并拥有访问它的凭证。
通常,当你完成[入门指南]时,这会自动设置完成,或者由其他人设置好集群并将凭证和位置提供给你。

使用此命令检查 kubectl 已知的位置和凭证:

  1. kubectl config view

许多[样例]
提供了使用 kubectl 的介绍。完整文档请见 [kubectl 手册]。

直接访问 REST API

kubectl 处理对 API 服务器的定位和身份验证。如果你想通过 http 客户端(如 curlwget
或浏览器)直接访问 REST API,你可以通过多种方式对 API 服务器进行定位和身份验证:

  1. 以代理模式运行 kubectl(推荐)。
    推荐使用此方法,因为它用存储的 apiserver 位置并使用自签名证书验证 API 服务器的标识。
    使用这种方法无法进行中间人(MITM)攻击。
  2. 另外,你可以直接为 HTTP 客户端提供位置和身份认证。
    这适用于被代理混淆的客户端代码。
    为防止中间人攻击,你需要将根证书导入浏览器。

使用 Go 或 Python 客户端库可以在代理模式下访问 kubectl。

使用 kubectl 代理

下列命令使 kubectl 运行在反向代理模式下。它处理 API 服务器的定位和身份认证。

像这样运行它:

  1. kubectl proxy --port=8080 &

参见 [kubectl 代理] 获取更多细节。

然后你可以通过 curl,wget,或浏览器浏览 API,像这样:

  1. curl http://localhost:8080/api/

输出类似如下:

  1. {
  2.   "versions": [
  3.     "v1"
  4.   ],
  5.   "serverAddressByClientCIDRs": [
  6.     {
  7.       "clientCIDR": "0.0.0.0/0",
  8.       "serverAddress": "10.0.1.149:443"
  9.     }
  10.   ]
  11. }

不使用 kubectl 代理

通过将身份认证令牌直接传给 API 服务器,可以避免使用 kubectl 代理,像这样:

使用 grep/cut 方式:

  1. # 查看所有的集群,因为你的 .kubeconfig 文件中可能包含多个上下文
  2. kubectl config view -o jsonpath='{"Cluster name\tServer\n"}{range .clusters[*]}{.name}{"\t"}{.cluster.server}{"\n"}{end}'
  4. # 从上述命令输出中选择你要与之交互的集群的名称
  5. export CLUSTER_NAME="some_server_name"
  7. # 指向引用该集群名称的 API 服务器
  8. APISERVER=$].cluster.server}")
  10. # 创建一个 secret 来保存默认服务账户的令牌
  11. kubectl apply -f - <<EOF
  12. apiVersion: v1
  13. kind: Secret
  14. metadata:
  15.   name: default-token
  16.   annotations:
  17.     kubernetes.io/service-account.name: default
  18. type: kubernetes.io/service-account-token
  19. EOF
  21. # 等待令牌控制器使用令牌填充 secret:
  22. while ! kubectl describe secret default-token | grep -E '^token' >/dev/null; do
  23.   echo "waiting for token..." >&2
  24.   sleep 1
  25. done
  27. # 获取令牌
  28. TOKEN=$
  30. # 使用令牌玩转 API
  31. curl -X GET $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure

输出类似如下:

  1. {
  2.   "kind": "APIVersions",
  3.   "versions": [
  4.     "v1"
  5.   ],
  6.   "serverAddressByClientCIDRs": [
  7.     {
  8.       "clientCIDR": "0.0.0.0/0",
  9.       "serverAddress": "10.0.1.149:443"
  10.     }
  11.   ]
  12. }

上面例子使用了 --insecure 标志位。这使它易受到 MITM 攻击。
当 kubectl 访问集群时,它使用存储的根证书和客户端证书访问服务器。
(已安装在 ~/.kube 目录下)。
由于集群认证通常是自签名的,因此可能需要特殊设置才能让你的 http 客户端使用根证书。

在一些集群中,API 服务器不需要身份认证;它运行在本地,或由防火墙保护着。
对此并没有一个标准。
[配置对 API 的访问]
讲解了作为集群管理员可如何对此进行配置。

编程方式访问 API

Kubernetes 官方支持 [Go]、[Python]、[Java]、
[dotnet]、[JavaScript] 和 [Haskell]
语言的客户端库。还有一些其他客户端库由对应作者而非 Kubernetes 团队提供并维护。
参考[客户端库]了解如何使用其他语言来访问 API
以及如何执行身份认证。

Go 客户端

client-go 定义了自己的 API 对象,因此如果需要,从 client-go 而不是主仓库导入
API 定义,例如 import "k8s.io/client-go/kubernetes" 是正确做法。

Go 客户端可以使用与 kubectl 命令行工具相同的
[kubeconfig 文件]
定位和验证 API 服务器。参见这个
[例子]:

  1. package main
  3. import (
  4.   "context"
  5.   "fmt"
  6.   "k8s.io/apimachinery/pkg/apis/meta/v1"
  7.   "k8s.io/client-go/kubernetes"
  8.   "k8s.io/client-go/tools/clientcmd"
  9. )
  11. func main {
  12.   // 在 kubeconfig 中使用当前上下文
  13.   // path-to-kubeconfig -- 例如 /root/.kube/config
  14.   config, _ := clientcmd.BuildConfigFromFlags
  15.   // 创建 clientset
  16.   clientset, _ := kubernetes.NewForConfig
  17.   // 访问 API 以列出 Pod
  18.   pods, _ := clientset.CoreV1.Pods.List, v1.ListOptions{})
  19.   fmt.Printf)
  20. }

如果该应用程序部署为集群中的一个
Pod,请参阅[从 Pod 内访问 API]。

Python 客户端

要使用 [Python 客户端],运行下列命令:
pip install kubernetes
参见 [Python 客户端库主页]了解更多安装选项。

Python 客户端可以使用与 kubectl 命令行工具相同的
[kubeconfig 文件]
定位和验证 API 服务器。参见这个
[例子]:

  1. from kubernetes import client, config
  3. config.load_kube_config
  5. v1=client.CoreV1Api
  6. print
  7. ret = v1.list_pod_for_all_namespaces
  8. for i in ret.items:
  9.     print)

Java 客户端

要安装 [Java 客户端],运行:

  1. # 克隆 Java 库
  2. git clone --recursive https://github.com/kubernetes-client/java
  4. # 安装项目文件、POM 等
  5. cd java
  6. mvn install

参阅[https://github.com/kubernetes-client/java/releases]
了解当前支持的版本。

Java 客户端可以使用 kubectl 命令行所使用的
[kubeconfig 文件]
以定位 API 服务器并向其认证身份。
参看此[示例]:

  1. package io.kubernetes.client.examples;
  3. import io.kubernetes.client.ApiClient;
  4. import io.kubernetes.client.ApiException;
  5. import io.kubernetes.client.Configuration;
  6. import io.kubernetes.client.apis.CoreV1Api;
  7. import io.kubernetes.client.models.V1Pod;
  8. import io.kubernetes.client.models.V1PodList;
  9. import io.kubernetes.client.util.ClientBuilder;
  10. import io.kubernetes.client.util.KubeConfig;
  11. import java.io.FileReader;
  12. import java.io.IOException;
  14. /**
  15.  * A simple example of how to use the Java API from an application outside a kubernetes cluster
  16.  *
  17.  * <p>Easiest way to run this: mvn exec:java
  18.  * -Dexec.mainClass="io.kubernetes.client.examples.KubeConfigFileClientExample"
  19.  *
  20.  */
  21. public class KubeConfigFileClientExample {
  22.   public static void main throws IOException, ApiException {
  24.     // file path to your KubeConfig
  25.     String kubeConfigPath = "~/.kube/config";
  27.     // loading the out-of-cluster config, a kubeconfig from file-system
  28.     ApiClient client =
  29.         ClientBuilder.kubeconfig)).build;
  31.     // set the global default api-client to the in-cluster one from above
  32.     Configuration.setDefaultApiClient;
  34.     // the CoreV1Api loads default api-client from global configuration.
  35.     CoreV1Api api = new CoreV1Api;
  37.     // invokes the CoreV1Api client
  38.     V1PodList list = api.listPodForAllNamespaces;
  39.     System.out.println;
  40.     for ) {
  41.       System.out.println.getName);
  42.     }
  43.   }
  44. }

.Net 客户端

要使用[.Net 客户端],运行下面的命令:
dotnet add package KubernetesClient --version 1.6.1
参见[.Net 客户端库页面]了解更多安装选项。
关于可支持的版本,参见[https://github.com/kubernetes-client/csharp/releases]。

.Net 客户端可以使用与 kubectl CLI 相同的 [kubeconfig 文件]
来定位并验证 API 服务器。
参见[样例]: 

  1. using System;
  2. using k8s;
  4. namespace simple
  5. {
  6.     internal class PodList
  7.     {
  8.         private static void Main
  9.         {
  10.             var config = KubernetesClientConfiguration.BuildDefaultConfig;
  11.             IKubernetes client = new Kubernetes;
  12.             Console.WriteLine;
  14.             var list = client.ListNamespacedPod;
  15.             foreach 
  16.             {
  17.                 Console.WriteLine;
  18.             }
  19.             if 
  20.             {
  21.                 Console.WriteLine;
  22.             }
  23.         }
  24.     }
  25. }

JavaScript 客户端

要安装 [JavaScript 客户端],运行下面的命令:
npm install @kubernetes/client-node
参考[https://github.com/kubernetes-client/javascript/releases]了解可支持的版本。

JavaScript 客户端可以使用 kubectl 命令行所使用的
[kubeconfig 文件]
以定位 API 服务器并向其认证身份。
参见[此例]:

  1. const k8s = require;
  3. const kc = new k8s.KubeConfig;
  4. kc.loadFromDefault;
  6. const k8sApi = kc.makeApiClient;
  8. k8sApi.listNamespacedPod.then => {
  9.     console.log;
  10. });

Haskell 客户端

参考 [https://github.com/kubernetes-client/haskell/releases] 了解支持的版本。

[Haskell 客户端]
可以使用 kubectl 命令行所使用的
[kubeconfig 文件]
以定位 API 服务器并向其认证身份。
参见[此例]:

  1. exampleWithKubeConfig :: IO 
  2. exampleWithKubeConfig = do
  3.     oidcCache <- atomically $ newTVar $ Map.fromList []
  4.      <- mkKubeClientConfig oidcCache $ KubeConfigFile "/path/to/kubeconfig"
  5.     dispatchMime
  6.             mgr
  7.             kcfg
  8.             )
  9.         >>= print

  • [从 Pod 中访问 Kubernetes API]

该分类下的相关小册推荐:

Kubernetes中文教程(四)
Kubernetes中文教程(四)
Kubernetes中文教程(三)
Kubernetes中文教程(三)
Kubernetes中文教程(二)
Kubernetes中文教程(二)
Kubernetes中文教程(一)
Kubernetes中文教程(一)
Kubernets合辑15-持续部署
Kubernets合辑15-持续部署
Kubernetes合辑1-安装Kubernetes
Kubernetes合辑1-安装Kubernetes
Kubernets合辑12-配置中心
Kubernets合辑12-配置中心
Kubernets合辑13-集群监控
Kubernets合辑13-集群监控
Kubernets合辑2-部署Ingress
Kubernets合辑2-部署Ingress
Kubernets合辑14-日志收集
Kubernets合辑14-日志收集
Kubernets合辑3-kubernetes介绍
Kubernets合辑3-kubernetes介绍
Kubernets合辑9-资源约束
Kubernets合辑9-资源约束