《Kubernetes知识篇(二):Kube-apiserver原理分析》

最新推荐文章于 2025-02-13 14:54:19 发布
最新推荐文章于 2025-02-13 14:54:19 发布
阅读量7.2k 收藏 2
点赞数 7
CC 4.0 BY-SA版权
分类专栏: 《企业级K8s集群运维实战》 文章标签: nginx linux docker 运维
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/m0_37814112/article/details/115624951
本文深入介绍了kube-apiserver的功能特性,包括其作为Kubernetes核心组件的角色,以及工作原理。同时,展示了如何通过curl命令访问kube-apiserver,并提到了RESTAPI的使用,强调了安全接口的重要性。此外,还指导了如何利用kubectl查询Kubernetes API资源。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录


一、kube-apiserver功能特性

如下图所示:
在这里插入图片描述

二、kube-apiserver工作原理图

如下图所示:
在这里插入图片描述

三、API 访问

curl方式

#查看apiserver地址
APISERVER=$(kubectl config view | grep server | awk '{print $2,$3}')

#查看token地址
TOKEN=$(kubectl describe secret $(kubectl get secrets | grep default | cut -f1 -d ' ')| grep -E '^token'| cut -f2 -d':'| tr -d '\t')

#执行curl命令
curl $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure

如下图所示:
在这里插入图片描述

四、REST API

kube-apiserver 支持同时提供 https(默认监听在 6443 端口)和 http API(默认监听在 127.0.0.1 的 8080 端口),其中 http API 是非安全接口,不做任何认证授权机制,不建议生产环境启用。两个接口提供的 REST API 格式相同,参考 Kubernetes API Reference 查看所有 API 的调用格式。

在这里插入图片描述
在实际使用中,通常通过 kubectl 来访问 apiserver,也可以通过 Kubernetes 各个语言的 client 库来访问 apiserver。在使用 kubectl 时,打开调试日志也可以看到每个 API 调用的格式,比如

kubectl --v=8 get pods

可通过 kubectl api-versions 和 kubectl api-resources 查询 Kubernetes API 支持的 API 版本以及资源对象。
如下图所示:
在这里插入图片描述

总结:整理不易,如果对你有帮助,可否点赞关注一下?

更多详细内容请参考:企业级K8s集群运维实战

【k8s源码分析-Apiserver-2】kube-apiserver 结构概览以及主体部分源码分析
叮当猫的喵i
12-25 1555
假 设 所 有 的 认 证 器 都 被 启 用 , 当 客 户 端 发 送 请 求 到 kubeapiserver服务,该请求会进入Authentication Handler函数(处理认 证相关的Handler函数),在Authentication Handler函数中,会遍历已启用的认证器列表, 尝试执行每个认证器, 当有一个认证器返回 true时,则认证成功,否则继续尝试下一个认证器。当客户端发起一个请求,经过认证阶段时,只要有一个认证器通过,则认证成功。在客户端请求通过认证之后, 会来到授权阶段。
一文读懂 Kubernetes APIServer 原理
吉小白的博客
01-20 1013
前言 整个Kubernetes技术体系由声明式API以及Controller构成,而kube-apiserverKubernetes的声明式api server,并为其它组件交互提供了桥梁。因此加深对kube-apiserver的理解就显得至关重要了。 整体组件功能 kube-apiserver作为整个Kubernetes集群操作etcd的唯一入口,负责Kubernetes各资源的认证&鉴权,校验以及CRUD等操作,提供RESTful APIs,供其它组件调用: kube-apiserver
Kubernetes核心组件 () : 核心组件Kube-ApiServer
BearStarX的博客
03-17 977
一、Kube-ApiServer简介 Kube-ApiServer是etcd的唯一访问和操作入口,ApiServer对外和对内都提供了一套统一的REST API,用户可以通过kubeclt命令请求ApiServer进行操作,而Kubernetes内部组件都是通过一种watch机制去监控API Server中的资源变化,然后对其做一些相应的操作。 Kube-ApiServer作用 1、提供...
kuberneteskube-ApiServer代码分析
weixin_33737134的博客
11-28 220
一、概述:   kube-ApiServer相当于是k8集群的一个入口,不论通过kubectl还是使用remote api 直接控制,都要经过apiserverapiserver说白了就是一个server负责监听指定的端口(http/https协议),之后处理不同的请求,只不过加上的很多控制;apiserver是k8s系统中所有对象的增删查改盯的http/restful式服务端,其中盯是指wat...
Kubernetes系列06:Kubernetes API Server原理分析
TURING.DT
04-24 3891
总体来看,kubernetes API Server 的核心功能是提供了各类资源对象的增删改查及watch等HTTP Rest接口,成为集群内各个功能模块之间数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。除此之外,它还有以下一些功能特性。 (1)是集群管理的API入口 (2)是资源配额控制的入口 (3)提供了完备的集群安全机制 1.kubernetes API Server
[kubernetes]Kube-APIServer
weixin_38805083的博客
12-25 1295
定义groupGroupName定义groupversion定义SchemeBuildervar (将对象加入SchemeBuilderr!= nil {return err&Pod{},}}List单一对象数据结构• TypeMeta• Spec• Status。
kubernetes组件合集】深入解析Kubernetes组件之kube-apiserver
异构算力老群群(在读985计算机博士生)的技术博客
04-18 1017
kube-apiserverKubernetes集群中的控制面组件,它充当了整个系统的前端接口。它负责处理来自用户、命令行工具和其他组件的API请求,提供对集群的管理和操作。
kubernetes源码分析-kube-apiserver
xiyanxiyan10的专栏
02-13 523
基于属性的访问控制(Attribute-based access control - ABAC)定义了访问控制范例,其中通过使用将属性组合在一起的策略来向用户授予访问权限。启用ABAC鉴权器需要额外增加一个。
Kubernetes部署kube-state-metrics
02-23
文章将深入探讨如何在Kubernetes上部署kube-state-metrics以及这个组件的重要性和工作原理。 **Kubernetes与Metrics** 在Kubernetes中,监控是确保应用稳定性和性能的关键部分。Metrics是监控的基础,它们提供...
深入解析Kubernetes的核心组件:kube-apiserverkube-controller-manager、kube-scheduler
# 1. Kubernetes核心组件概述 ...Kubernetes核心组件是指构成Kubernetes集群基础架构的关键组成部分,主要包括kube-apiserverkube-controller-manager、kube-scheduler等几大核心组件。这些组件协同工作,
k8s-API server原理分析
热门推荐
hahachenchen789的博客
06-09 1万+
我们都知道, k8s的API server核心功能是提供了k8s各类资源对象(Pod,RC,service)的增,删,改,查及HTTP REST接口。 server是通过一个名为kube-apiserver的进程提供服务。该进程运行在master节点上,默认情况下,在本机8080端口提供REST服务。 通常我们可以通过命令行工具kubectl来与API server交互。它们之间的接口是RES...
kubernetes扩展apiserver实现分析
Qinng的博客
04-25 1908
Kubernetes提供了丰富的扩展功能,如果需要实现自定义的资源,通过有两种方式CRD与Aggregation API。相对于CRD扩展API功能更丰富,可以实现单独的存储。今天来聊一聊,k8s是如果实现扩展api,它们直接又是如何协作的。 AggregationApiserver介绍 Aggregator类似于一个七层负载均衡,将来自用户的请求拦截转发给其他服务器,并且负责整个 APIServ...
k8s-apiserver工作原理
神圣坤的博客
06-16 3332
公众号关注「SY技术小站」设为「星标」,每天带你分享技术与生活!API Serverkube-apiserverKubernetes 最重要的核心组件之一,主要提供以下的功能提供...
apiserverkube-scheduler、kube-controller-manager原理分析
chunmiao3032的专栏
07-03 1294
Aggregator、kubeapiserver、apiExtensionServer1、 Aggregator相当于7层负载,提供各种路由转发 资源的注册与删除、openapi文档的同步、管理crd2、kubeapiserver处理通用请求 处理api resource的操作请求、为api提供restfulapi3、apiExtensionServer处理(CRD)Customer Resource Definition的请求 list wathc是apiserv
关于 Kuberneteskube-apiserver的一些笔记
山河已无恙
12-17 2922
年轻游侠儿泪眼模糊,凄然一笑,站起身,拿木剑对准墙壁,狠狠折断。 此后江湖再无温华的消息,这名才出江湖便已名动天下的木剑游侠儿,一夜之间,以最决然的苍凉姿态,离开了江湖。 刺骨大雪中,他最后对自己说了一句。 “不练剑了。” ——烽火戏诸侯《雪中悍刀行》
Kubernetes_APIServer_APIServer简介
weixin_37085241的博客
07-14 1255
文章目录一、前言APIServer概要三、APIServer中的接口3.1 kubectl与APIServer之间是REST调用3.2 查看yaml文件中的apiVersion3.3 APIServer 中的 Restful 风格接口3.4 APIServer中的 API 路径3.5 kube-apiserver 的...
kubernetes APIServer工作原理
weixin_44726315的博客
04-27 435
kubernetes APIServer工作原理kubernetes APIServer工作原理APIserver设计APIserver如何找到对象定义apiserver 创建 CronJob 过程 kubernetes APIServer工作原理 APIserver设计 在 Kubernetes 项目中,一个 API 对象在 Etcd 里的完整资源路径,是由:Group(API 组)、Version(API 版本)和 Resource(API 资源类型)三个部分组成的。 通过这样的结构,整个 Kub
apiserver配置文件 KUBE_APISERVER_OPTS="--logtostderr=true \$ --v=4 \$ --etcd-servers=https://192.168.106.141:2379,https://192.168.106.142:2379,https://192.168.106.143:2379 \$ --bind-address=192.168.106.141 \$ --secure-port=6443 \$ --advertise-address=192.168.106.141 \$ --allow-privileged=true \$ --service-cluster-ip-range=10.0.0.0/24 \$ --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,ResourceQuota,NodeRestriction \$ --authorization-mode=RBAC,Node \$ --enable-bootstrap-token-auth \$ --token-auth-file=/opt/kubernetes/cfg/token.csv \$ --service-node-port-range=30000-50000 \ $ --tls-cert-file=/opt/kubernetes/ssl/server.pem \$ --tls-private-key-file=/opt/kubernetes/ssl/server-key.pem \$ --client-ca-file=/opt/kubernetes/ssl/ca.pem \$ --service-account-key-file=/opt/kubernetes/ssl/ca-key.pem \$ --etcd-cafile=/opt/etcd/ssl/ca.pem \$ --etcd-certfile=/opt/etcd/ssl/server.pem \$ --etcd-keyfile=/opt/etcd/ssl/server-key.pem"$ 但是无法启动 提示Jul 22 18:42:13 bogon kube-apiserver: --logtostderr log to standard error instead of files (default true) Jul 22 18:42:13 bogon kube-apiserver: error: --etcd-servers must be specified Jul 22 18:42:13 bogon kube-apiserver: --alsologtostderr log to standard error as well as files Jul 22 18:42:13 bogon kube-apiserver: --logtostderr log to standard error instead of files (default true) Jul 22 18:42:13 bogon kube-apiserver: error: --etcd-servers must be specified Jul 22 18:42:13 bogon kube-apiserver: --alsologtostderr log to standard error as well as files Jul 22 18:42:13 bogon kube-apiserver: --logtostderr log to standard error instead of files (default true) Jul 22 18:42:13 bogon kube-apiserver: error: --etcd-servers must be specified
最新发布
07-23
<think>我们正在处理用户关于kube-apiserver启动失败的问题,错误信息为“error: --etcd-servers must be specified”。根据引用内容,我们知道kube-apiserver需要连接到etcd服务器存储集群数据。因此,这个错误表明在启动kube-apiserver时没有正确指定etcd服务器的地址。 解决方案步骤: 1. 确认etcd服务状态:首先确保etcd服务已经启动并正常运行。可以使用`systemctl status etcd`(如果使用systemd)或检查etcd的日志来确认。 2. 检查etcd监听地址:根据引用[4],曾经出现过因为etcd没有监听127.0.0.1:2379而导致连接被拒绝的问题。因此,需要确认etcd的配置(通常是/etc/etcd/etcd.conf)中的`ETCD_LISTEN_CLIENT_URLS`参数是否包含了kube-apiserver将要连接的地址(比如127.0.0.1:2379或者特定的IP地址)。 3. 配置kube-apiserver的启动参数:在kube-apiserver的启动命令或配置文件中,必须明确指定etcd服务器的地址。例如,如果etcd运行在本机的默认端口(2379),则添加`--etcd-servers=http://127.0.0.1:2379`。如果有多个etcd实例,则用逗号分隔。 具体操作: - 如果使用systemd管理kube-apiserver,编辑kube-apiserver的service文件(如/etc/systemd/system/kube-apiserver.service),在ExecStart命令中添加`--etcd-servers`参数。 - 如果是直接使用命令行启动,确保在命令行中包含该参数。 示例service文件片段: ``` ExecStart=/usr/local/bin/kube-apiserver \ --etcd-servers=http://127.0.0.1:2379 \ ...其他参数... ``` 4. 重启服务:修改配置后,重新加载systemd配置并重启服务: ``` sudo systemctl daemon-reload sudo systemctl restart kube-apiserver ``` 5. 验证:使用`systemctl status kube-apiserver`查看服务状态,或者通过日志`journalctl -u kube-apiserver`来确认是否启动成功。 注意:如果etcd服务器不在本地,或者使用了TLS加密,那么需要相应地调整地址和添加证书参数(如`--etcd-cafile`, `--etcd-certfile`, `--etcd-keyfile`)。但根据错误信息,当前问题只是未指定etcd服务器地址,因此先确保指定了正确的地址。 引用分析- 引用[1]提到kube-apiserver将配置存储到etcd server,因此连接etcd是必须的。 - 引用[4]提供了一个类似问题的案例,即etcd监听地址配置不正确导致连接被拒绝,但当前错误是未指定etcd服务器,所以核心问题还是启动参数中缺少`--etcd-servers`。 因此,解决这个问题的关键是确保在启动kube-apiserver时通过`--etcd-servers`参数指定etcd服务器的地址。</think>### Kubernetes API Server 启动失败:`--etcd-servers must be specified` 解决方案 此错误表明 kube-apiserver 无法连接到 etcd 数据存储,通常由以下原因导致: #### 🔧 核心解决步骤 1. **检查启动参数配置** - 确认 kube-apiserver 启动命令包含有效的 etcd 地址: ```bash ps -ef | grep kube-apiserver | grep etcd-servers ``` - 正确格式示例: ``` --etcd-servers=http://<etcd-ip>:2379 # 单节点 --etcd-servers=https://etcd1:2379,https://etcd2:2379,https://etcd3:2379 # 集群 ``` 2. **验证 etcd 服务状态** ```bash # 检查 etcd 是否运行 systemctl status etcd # 测试 etcd 连接性 ETCDCTL_API=3 etcdctl --endpoints=http://<etcd-ip>:2379 endpoint status ``` 3. **修复配置问题** - **Systemd 服务文件**(`/etc/systemd/system/kube-apiserver.service`): ```ini [Service] ExecStart=/usr/bin/kube-apiserver \ --etcd-servers=http://192.168.1.100:2379 \ # 替换为实际ETCD地址 ...其他参数... ``` - **kubeadm 集群**:修改 `/etc/kubernetes/manifests/kube-apiserver.yaml` ```yaml spec: containers: - command: - kube-apiserver - --etcd-servers=https://etcd-cluster:2379 # 确保此项存在 ``` 4. **应用配置并重启** ```bash systemctl daemon-reload systemctl restart kube-apiserver journalctl -u kube-apiserver -f # 查看实时日志 ``` #### ⚠️ 常见陷阱排查 1. **etcd 监听地址不匹配** 确保 etcd 配置的 `ETCD_LISTEN_CLIENT_URLS` 包含 kube-apiserver 使用的地址(引用[4]): ```ini # /etc/etcd/etcd.conf ETCD_LISTEN_CLIENT_URLS="http://0.0.0.0:2379" # 允许所有IP连接 ``` 2. **TLS 证书问题**(当使用 HTTPS 时) - 检查证书路径是否正确: ``` --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key ``` - 确保证书由相同 CA 签发(引用[2]) 3. **网络连通性问题** ```bash # 从 API Server 节点测试连接 telnet <etcd-ip> 2379 curl http://<etcd-ip>:2379/version ``` #### 📌 设计原理说明 kube-apiserver 依赖 etcd 作为唯一持久化存储,所有集群状态(Pods、Services 等)都存储在 etcd 中。启动时未指定 `--etcd-servers` 会导致 API Server 无法初始化存储后端,这是 Kubernetes 架构的核心设计(引用[1][3])。 > **架构提示**:kube-apiserver 在 Master 节点启动时,会通过 `CreateServerChain()` 初始化与 etcd 的连接(引用[3]),此阶段必须验证 etcd 可用性。 --- ### 相关问题 1. 当 kube-apiserver 报错 `connection refused` 连接 etcd 失败时,如何分步骤诊断网络问题? 2. 在 Kubernetes 高可用集群中,如何为 kube-apiserver 配置多 etcd 节点实现故障转移? 3. 如何为 kube-apiserver 和 etcd 的 HTTPS 通信生成和配置 TLS 证书? 4. kube-apiserver 启动过程中 `CreateServerChain()` 函数具体执行了哪些初始化操作?(引用[3])
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东城绝神

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值