Kubernetes(k8s)API Server详解
一、概述
k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据中心。
kubernetes API Server的功能:
- 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更);
- 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Server查询或修改数据,只有API Server才直接操作etcd);
- 是资源配额控制的入口;
- 拥有完备的集群安全机制.
kube-apiserver工作原理图
配置文件(/etc/kubernetes/manifests/kube-apiserver.yaml)
二、K8s REST API 设计思想
由于k8s的Api是基于REST的设计思想,因此,不同种类的HTTP请求也就对应了不同的操作。比较常用的对应关系是:
- GET(SELECT):从服务器取出资源(一项或多项)。GET请求对应k8s api的获取信息功能。因此,如果是获取信息的命令都要使用GET方式发起HTTP请求。
- POST(CREATE):在服务器新建一个资源。POST请求对应k8s api的创建功能。因此,需要创建Pods、ReplicaSet或者service的时候请使用这种方式发起请求。
- PUT(UPDATE):在服务器更新资源(客户端提供改变后的完整资源)。对应更新nodes或Pods的状态、ReplicaSet的自动备份数量等等。
- PATCH(UPDATE):在服务器更新资源(客户端提供改变的属性)。
- DELETE(DELETE):从服务器删除资源。在稀牛学院的学员使用完毕环境后,可以使用这种方式将Pod删除,释放资源。
三、API 访问
有多种方式可以访问 Kubernetes 提供的 REST API。
1)kubectl 命令行访问方式
# 可以看到"serverAddress":"192.168.0.113:6443"
$ kubectl get --raw /api/
$ kubectl get --raw /api/v1
$ kubectl get --raw /api/v1/namespaces
2)kubectl proxy访问方式
# 先起代理端口
$ kubectl proxy --port=8080 &
# 查看
$ curl http://localhost:8080/api/ '{"versions": ["v1"]}'
3)curl访问方式(https)
1、创建管理员用户,授权,获取token
$ cat << EOF > CreateServiceAccountRoleBinding.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
name: admin-user
namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
name: admin-user
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: cluster-admin
subjects:
- kind: ServiceAccount
name: admin-user
namespace: kube-system
EOF
执行
$ kubectl apply -f CreateServiceAccountRoleBinding.yaml
$ kubectl get sa -n kube-system admin-user
获取token
$ kubectl describe secret -n kube-system `kubectl get secret -n kube-system|grep admin-user|awk '{print $1}'`|grep '^token:'|awk '{print $2}'
2、生成变量
$ TOKEN=$(kubectl describe secret -n kube-system `kubectl get secret -n kube-system|grep admin-user|awk '{print $1}'`|grep '^token:'|awk '{print $2}')
3、curl请求示例(https)
加-k处理证书问题
# -k 允许curl使用非安全的ssl连接并且传输数据(证书不受信)
$ curl -k --header "Authorization: Bearer $TOKEN" https://192.168.0.113:6443/api
4)postman访问方式
postman下载地址
链接:https://pan.baidu.com/s/1SW86b9LrO7V2ebN0Eb2yhA
提取码:8888
1、取到的token,去访问api
$ kubectl describe secret -n kube-system `kubectl get secret -n kube-system|grep admin-user|awk '{print $1}'`|grep '^token:'|awk '{print $2}'
2、设置Token
3、禁用SSL证书校验(跟上面的curl -k一样)
File->setting->General
4、验证
5)使用证书认证访问方式(https)
$ CACERT=/etc/kubernetes/pki/ca.crt
$ curl --cacert $CACERT --header "Authorization: Bearer $TOKEN" https://192.168.0.113:6443/api
四、通过API接口增删改查
1)namespace
1、【增】 创建POST请求:
创建namespace: /api/v1/namespaces
【示例】
$ curl -XPOST -H 'Content-Type:application/json' -d@test001.json -k --header "Authorization: Bearer $TOKEN" https://192.168.0.113:6443/api/v1/namespaces/
json文件
# cat test001.json
{
"kind": "Namespace",
"apiVersion": "v1",
"metadata": {
"name": "test001",
"labels": {
"app": "test001"
}
}
}
验证
$ kubectl get ns test001
2、【删】 删除DELETE请求:
删除namespace: /api/v1/namespaces/
【示例】
$ curl -XDELETE -H 'Content-Type:application/json' -k --header "Authorization: Bearer $TOKEN" https://192.168.0.113:6443/api/v1/namespaces/test001
上面显示命名空间还在,但是是终止的状态,如果想立马删除,可以使用下面的语句删除。
强制删除命名空间,如果命名空间不是test001,记得修改哦。
$ kubectl get namespace test001 -o json \
| tr -d "\n" | sed "s/\"finalizers\": \[[^]]\+\]/\"finalizers\": []/" \
| kubectl replace --raw /api/v1/namespaces/test001/finalize -f -
3、【改】 修改PUT/PATCH请求:
修改指定的命名空间: /api/v1/namespaces/{name}
修改指定名称空间的状态: /api/v1/namespaces/{name}/status
如果部分更新可以用 PATCH
【示例】将上面的命名空间修改成test002
# cat test002.yaml
{
"apiVersion": "v1",
"kind": "Namespace",
"metadata": {
"name": "test001",
"labels": {
"name": "development"
}
},
"spec": {
"finalizers": [
"openshift.com/origin",
"kubernetes"
]
},
"status": {
"phase": "Active"
}
}
执行
$ curl -XPUT -H 'Content-Type:application/json' -d@test002.json -k --header "Authorization: Bearer $TOKEN" https://192.168.0.113:6443/api/v1/namespaces/test001
$ kubectl describe ns test001
4、【查】 查询GET请求:
查询全部: /api/v1/namespaces
查询指定namespace: /api/v1/namespaces/
$ curl -XGET -H 'Content-Type:application/json' -k --header "Authorization: Bearer $TOKEN" https://192.168.0.113:6443/api/v1/namespacestest001/
不仅支持json格式,还支持yaml格式
【注意】-H 'Content-Type: application/yaml'
【示例】
$ curl -XPOST -H 'Content-Type: application/yaml' --data '
apiVersion: v1
kind: Namespace
metadata:
name: test003
' -k --header "Authorization: Bearer $TOKEN" https://192.168.0.113:6443/api/v1/namespaces/
以下讲解的资源api操作,跟上面的类似,就不一一提供示例了。
2)Pod
1、【增】 创建POST请求:
创建pod: /api/v1/namespaces/{namespace}/pods
2、【删】 删除 DELETE请求:
删除pod: /api/v1/namespaces/{namespace}/pods/
3、【改】 修改PUT/PATCH请求:
替换指定的pod: /api/v1/namespaces/{namespace}/pods/
4、【查】(查询) GET请求:
查询全部: /api/v1/namespaces/{namespace}/pods
查询指定pod: /api/v1/namespaces/{namespace}/pods/
3)Node
1、【增】 创建POST请求:
创建node: /api/v1/nodes
2、【删】 删除 DELETE请求:
删除node: /api/v1/nodes/
3、【改】 修改PUT/PATCH请求:
替换指定的node: /api/v1/nodes/{name}
替换指定node的状态: /api/v1/nodes/{name}/status
4、【查】 查询GET请求:
查询全部: /api/v1/nodes
查询指定node: /api/v1/nodes/{name}
查询指定节点内所有Pod的信息: /api/v1/nodes/{name}/pods/
查询指定节点内物理资源的统计信息: /api/v1/nodes/{name}/stats/
查询指定节点的概要信息: /api/v1/nodes/{name}/spec/
3)Service
1、【增】 创建POST请求:
创建service: /api/v1/namespaces/{namespace}/services
2、【删】 删除DELETE请求:
删除service: /api/v1/namespaces/{namespace}/services/
3、【改】 修改PUT/PATCH请求:
替换指定的service: /api/v1/namespaces/{namespace}/services/
4、【查】 查询GET请求:
查询全部: /api/v1/namespaces/{namespace}/services
查询指定service: /api/v1/namespaces/{namespace}/services/
~~~ 这里只列举了一小部分常用的接口,更多接口,请查看官方文档 ~~~
