API Server 6443端口、8080端口、443端口的区别
8080 端口与 6443 端口
Kubernets API Server进程提供Kubernetes API。通常情况下,有一个进程运行在单一kubernetes-master节点上。
默认情况,Kubernetes API Server提供HTTP的两个端口:
1.Insecure Port
- HTTP服务
- 默认端口8080,修改标识 --insecure-port,此值默认为0,表示此端口默认是关闭的。如果需要开启 HTTP 非安全端口模式,可以把 --insecure-port 值设置为8080
- 默认IP是本地主机,修改标识 --insecure-bind-address
- 在HTTP中没有认证和授权检查
- 主机访问受保护
2.Secure Port
- 默认端口6443,修改标识—secure-port
- 默认IP是首个非本地主机的网络接口,修改标识 --bind-address
- HTTPS服务。设置证书和秘钥的标识,--tls-cert-file,--tls-private-key-file
- 认证方式,令牌文件或者客户端证书
- 使用基于策略的授权方式
443 端口
那 443 端口又是什么呢?
443 端口是 default 命名空间下的一个名为 kubernetes 的service 的端口,
$ kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kubernetes ClusterIP 10.96.0.1 <none> 443/TCP 32h
使用 describe 命令查看详细信息,可以发现这个 kubernetes service 其实就是 API Server 的入口地址,其后端的 endpoint 依然指向的是 API Server 的 Pod IP (也就是 API Server 监听的地址) 的 6443 端口。主要用于在集群内即 pod 中访问 apiserver。
$ kubectl describe svc kubernetes Name: kubernetes Namespace: default Labels: component=apiserver provider=kubernetes Annotations: <none> Selector: <none> Type: ClusterIP IP Families: <none> IP: 10.96.0.1 IPs: <none> Port: https 443/TCP TargetPort: 6443/TCP Endpoints: 172.18.0.3:6443 Session Affinity: None Events: <none>
关于这个名为 kubernetes 的 service,可以参考这篇:kube-apiserver 中 apiserver service 的实现 · 田飞雨 (tianfeiyu.com)。
