Kubernetes（k8s）API Server详解_kubernetes apiserver

一、概述

k8s API Server提供了k8s各类资源对象（pod,RC,Service等）的增删改查及watch等HTTP Rest接口，是整个系统的数据总线和数据中心。

kubernetes API Server的功能：

• 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更)；
• 提供其他模块之间的数据交互和通信的枢纽（其他模块通过API Server查询或修改数据，只有API Server才直接操作etcd）;
• 是资源配额控制的入口；
• 拥有完备的集群安全机制.

kube-apiserver工作原理图

配置文件（/etc/kubernetes/manifests/kube-apiserver.yaml）

ks8官网文档

二、K8s REST API 设计思想

由于k8s的Api是基于REST的设计思想，因此，不同种类的HTTP请求也就对应了不同的操作。比较常用的对应关系是：

• GET（SELECT）：从服务器取出资源（一项或多项）。GET请求对应k8s api的获取信息功能。因此，如果是获取信息的命令都要使用GET方式发起HTTP请求。
• POST（CREATE）：在服务器新建一个资源。POST请求对应k8s api的创建功能。因此，需要创建Pods、ReplicaSet或者service的时候请使用这种方式发起请求。
• PUT（UPDATE）：在服务器更新资源（客户端提供改变后的完整资源）。对应更新nodes或Pods的状态、ReplicaSet的自动备份数量等等。
• PATCH（UPDATE）：在服务器更新资源（客户端提供改变的属性）。
• DELETE（DELETE）：从服务器删除资源。在稀牛学院的学员使用完毕环境后，可以使用这种方式将Pod删除，释放资源。

三、API 访问

有多种方式可以访问 Kubernetes 提供的 REST API。

1）kubectl 命令行访问方式

# 可以看到"serverAddress":"192.168.0.113:6443"
$ kubectl get --raw /api/
$ kubectl get --raw /api/v1
$ kubectl get --raw /api/v1/namespaces
1
2
3
4

2）kubectl proxy访问方式

# 先起代理端口
$ kubectl proxy --port=8080 &
# 查看
$ curl http://localhost:8080/api/ '{"versions": ["v1"]}'
1
2
3
4

3）curl访问方式（https）

1、创建管理员用户，授权，获取token

$ cat << EOF > CreateServiceAccountRoleBinding.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
  name: admin-user
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: admin-user
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-admin
subjects:
- kind: ServiceAccount
  name: admin-user
  namespace: kube-system
EOF
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

执行

$ kubectl apply -f CreateServiceAccountRoleBinding.yaml
$ kubectl get sa -n kube-system admin-user
1
2

获取token

$ kubectl describe secret -n kube-system `kubectl get secret -n kube-system|grep admin-user|awk '{print $1}'`|grep '^token:'|awk '{print $2}'
1

2、生成变量

$ TOKEN=$(kubectl describe secret -n kube-system `kubectl get secret -n kube-system|grep admin-user|awk '{print $1}'`|grep '^token:'|awk '{print $2}')
1

3、curl请求示例（https）
加-k处理证书问题

# -k	允许curl使用非安全的ssl连接并且传输数据（证书不受信）
$ curl -k --header "Authorization: Bearer $TOKEN"  https://192.168.0.113:6443/api
1
2

4）postman访问方式

postman下载地址

链接：https://pan.baidu.com/s/1SW86b9LrO7V2ebN0Eb2yhA
提取码：8888

1、取到的token，去访问api

$ kubectl describe secret -n kube-system `kubectl get secret -n kube-system|grep admin-user|awk '{print $1}'`|grep '^token:'|awk '{print $2}'
1

2、设置Token

3、禁用SSL证书校验（跟上面的curl -k一样）
File->setting->General

4、验证

5）使用证书认证访问方式（https）

$ CACERT=/etc/kubernetes/pki/ca.crt
$ curl --cacert $CACERT --header "Authorization: Bearer $TOKEN"  https://192.168.0.113:6443/api
1
2

四、通过API接口增删改查

k8s API v1.22 官方文档

1）namespace

1、【增】 创建POST请求：

创建namespace： /api/v1/namespaces

【示例】

$ curl -XPOST -H 'Content-Type:application/json' -d@test001.json -k --header "Authorization: Bearer $TOKEN"  https://192.168.0.113:6443/api/v1/namespaces/
1

json文件

# cat test001.json
{
    "kind": "Namespace",
    "apiVersion": "v1",
    "metadata": {
        "name": "test001",
        "labels": {
            "app": "test001"
        }
    }
}
1
2
3
4
5
6
7
8
9
10
11

验证

$ kubectl get ns test001
1

2、【删】 删除DELETE请求：

删除namespace： /api/v1/namespaces/{name}

【示例】

$ curl -XDELETE -H 'Content-Type:application/json' -k --header "Authorization: Bearer $TOKEN"  https://192.168.0.113:6443/api/v1/namespaces/test001
1

上面显示命名空间还在，但是是终止的状态，如果想立马删除，可以使用下面的语句删除。
强制删除命名空间，如果命名空间不是test001，记得修改哦。

$ kubectl get namespace test001 -o json \
            | tr -d "\n" | sed "s/\"finalizers\": \[[^]]\+\]/\"finalizers\": []/" \
            | kubectl replace --raw /api/v1/namespaces/test001/finalize -f -
1
2
3

3、【改】 修改PUT/PATCH请求：

修改指定的命名空间： /api/v1/namespaces/{name}
修改指定名称空间的状态： /api/v1/namespaces/{name}/status

如果部分更新可以用 PATCH

【示例】将上面的命名空间修改成test002

# cat test002.yaml
{
    "apiVersion": "v1",
    "kind": "Namespace",
    "metadata": {
        "name": "test001",
        "labels": {
            "name": "development"
        }
    },
    "spec": {
        "finalizers": [
            "openshift.com/origin",
            "kubernetes"
        ]
    },
    "status": {
        "phase": "Active"
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

执行

$ curl -XPUT -H 'Content-Type:application/json' -d@test002.json -k --header "Authorization: Bearer $TOKEN"  https://192.168.0.113:6443/api/v1/namespaces/test001
$ kubectl describe ns test001
1
2

4、【查】 查询GET请求：

查询全部： /api/v1/namespaces
查询指定namespace： /api/v1/namespaces/{name}

$ curl -XGET -H 'Content-Type:application/json' -k --header "Authorization: Bearer $TOKEN"  https://192.168.0.113:6443/api/v1/namespacestest001/
1

不仅支持json格式，还支持yaml格式

【注意】-H ‘Content-Type: application/yaml’

【示例】

$ curl -XPOST -H 'Content-Type: application/yaml' --data '
apiVersion: v1
kind: Namespace
metadata:
  name: test003
' -k --header "Authorization: Bearer $TOKEN"  https://192.168.0.113:6443/api/v1/namespaces/
1
2
3
4
5
6

---

以下讲解的资源api操作，跟上面的类似，就不一一提供示例了。

2）Pod

1、【增】 创建POST请求：

创建pod： /api/v1/namespaces/{namespace}/pods

2、【删】 删除 DELETE请求：

删除pod： /api/v1/namespaces/{namespace}/pods/{name}

3、【改】 修改PUT/PATCH请求：

替换指定的pod： /api/v1/namespaces/{namespace}/pods/{name}

4、【查】（查询） GET请求：

查询全部： /api/v1/namespaces/{namespace}/pods
查询指定pod： /api/v1/namespaces/{namespace}/pods/{name}

3）Node

1、【增】 创建POST请求：

创建node： /api/v1/nodes

2、【删】 删除 DELETE请求：

删除node： /api/v1/nodes/{name}

3、【改】 修改PUT/PATCH请求：

替换指定的node： /api/v1/nodes/{name}
替换指定node的状态： /api/v1/nodes/{name}/status

4、【查】 查询GET请求：

查询全部： /api/v1/nodes
查询指定node： /api/v1/nodes/{name}
查询指定节点内所有Pod的信息： /api/v1/nodes/{name}/pods/
查询指定节点内物理资源的统计信息: /api/v1/nodes/{name}/stats/
查询指定节点的概要信息： /api/v1/nodes/{name}/spec/

3）Service

1、【增】 创建POST请求：

创建service： /api/v1/namespaces/{namespace}/services

2、【删】 删除DELETE请求：

删除service： /api/v1/namespaces/{namespace}/services/{name}

3、【改】 修改PUT/PATCH请求：

替换指定的service： /api/v1/namespaces/{namespace}/services/{name}

4、【查】 查询GET请求：

查询全部： /api/v1/namespaces/{namespace}/services
查询指定service： /api/v1/namespaces/{namespace}/services/{name}

~~~ 这里只列举了一小部分常用的接口，更多接口，请查看官方文档 ~~~