2023學(xué)年完整公開課版1分析KubernetesAPIServer原理

分析APIServer原理目錄APIServer原理分析集群安全機(jī)制2APIServer原理分析3kubernetesAPIServer的核心功能是提供了kubernetes各類資源對象(如Pod,RC,Service)的增刪改查以及Watch等HTTPREST接口,稱為集群內(nèi)各個功能模塊之間數(shù)據(jù)交互和通信的中心樞紐,是整個系統(tǒng)的數(shù)據(jù)總線和數(shù)據(jù)中心.APIServer原理分析4特點(diǎn)它是集群管理的API入口它是資源配額控制的入口它提供了完備的集群安全機(jī)制APIServer原理分析5基本情況kubernetesAPIServer通過一個名為kube-apiserver的進(jìn)程提供服務(wù).默認(rèn)情況下,kube-apiserver進(jìn)程在本機(jī)的8080端口(對應(yīng)--insecure-port參數(shù))提供REST服務(wù).APIServer原理分析6基本情況kubernetesAPIServer通過一個名為kube-apiserver的進(jìn)程提供服務(wù).同時還可以在HTTPS安全端口(--secure-port=6443)來啟動安全機(jī)制,加強(qiáng)RESTAPI訪問的安全性.APIServer原理分析7基本情況通常我們通過kubectl來與kubernetesAPIServer交互,它們之間的接口是REST調(diào)用.我們也可以使用curl命令行工具訪問APIserver.或者通過編程的方式調(diào)用kubernetesAPIServer。集群安全機(jī)制8APIServer認(rèn)證管理(Authentication)kubernetes集群提供了3種級別的客戶端身份認(rèn)證方式：最嚴(yán)格的HTTPS證書認(rèn)證:基于CA根證書簽名的雙向數(shù)字證書認(rèn)證方式HTTPToken認(rèn)證:通過一個Token來識別合法用戶HTTPBase認(rèn)證:通過用戶名+密碼的方式認(rèn)證集群安全機(jī)制9APIServer授權(quán)管理(Authorization)APIServer目前支持以下幾種授權(quán)策略（通過apiserver的啟動參數(shù)--authorization-mode設(shè)置）：:AlwaysDeny:表示拒絕所有請求,一般用于測試AlwaysAllow:允許接收所有請求,這是默認(rèn)配置集群安全機(jī)制10APIServer授權(quán)管理(Authorization)ABAC(Attribute-BasedAccessControl):基于屬性的訪問控制,表示使用用戶配置的授權(quán)規(guī)則對用戶請求進(jìn)行匹配和控制Webhook:通過調(diào)用外部REST服務(wù)對用戶進(jìn)行授權(quán)集群安全機(jī)制11APIServer授權(quán)管理(Authorization)RBAC(Role-BasedAccessContr