K8s API Server：集群的大脑-深圳市維司達科技有限公司

在Kubernetes（K8s）集群中，API Server就像是整个集群的“大脑”，它处于核心地位，负责处理各种请求，协调集群中各个组件的工作。接下来，我们就一起深入了解API Server的功能和工作原理，并且通过实操掌握与它进行交互的方法。

- - API Server的功能和工作原理
  - - 功能
    - 工作原理
  - 通过curl命令与API Server交互
  - - 准备工作
    - 命令示例
    - 返回结果分析
  - 解决API Server访问权限不足、请求失败等问题
  - - 访问权限不足
    - 请求失败
  - 总结
🍃 系列专栏导航

API Server的功能和工作原理

功能

资源管理：API Server是K8s中所有资源对象的管理中心。在K8s里，像Pod、Deployment、Service这些都是资源对象，它们代表着集群中的各种组件和服务。API Server负责对这些资源对象进行创建、读取、更新和删除（CRUD）操作。比如说，当你想要在集群中部署一个新的应用时，就会通过API Server来创建一个Deployment资源对象，API Server会根据你的请求在集群中创建相应的Pod来运行应用。
认证与授权：它会对所有访问请求进行严格的认证和授权。认证就是确认请求者的身份，只有合法的用户或者组件才能访问API Server。授权则是确定请求者是否有足够的权限来执行特定的操作。例如，普通用户可能只有查看资源的权限，而管理员用户则可以进行创建、修改和删除资源的操作。
集群状态存储：API Server会存储K8s集群的状态信息。这些信息包括资源对象的配置、当前的运行状态等。它会将这些信息存储在etcd中，etcd是一个分布式键值存储系统，用于持久化存储K8s集群的状态。当需要获取集群的状态信息时，API Server会从etcd中读取相应的数据。

工作原理

请求接收：API Server会监听特定的端口（通常是6443），等待客户端发送请求。客户端可以是kubectl命令行工具、K8s的其他组件或者自定义的应用程序。当客户端发送请求时，API Server会接收到请求并进行初步的处理。
请求处理流程：首先，API Server会对请求进行认证，验证请求者的身份。然后，进行授权检查，确定请求者是否有足够的权限执行该操作。接着，会对请求进行语义检查，确保请求的格式和内容符合K8s的规范。如果请求通过了这些检查，API Server会根据请求的类型（如创建、读取、更新、删除）对相应的资源对象进行操作。最后，将操作结果返回给客户端。
与etcd交互：在处理请求的过程中，API Server会与etcd进行交互。当需要创建或更新资源对象时，API Server会将新的资源对象信息写入etcd；当需要读取资源对象时，会从etcd中读取相应的数据。通过与etcd的交互，API Server保证了集群状态的持久化和一致性。

通过curl命令与API Server交互

准备工作

在使用curl命令与API Server交互之前，需要做好以下准备工作：

获取API Server的地址：可以通过kubectl config view命令查看API Server的地址。
获取认证信息：通常需要使用kubeconfig文件中的认证信息，包括客户端证书、私钥和CA证书。可以将这些信息转换为适合curl命令使用的格式。

命令示例

获取所有命名空间：

curl-k --cert /path/to/client.crt --key /path/to/client.key https://<api-server-address>/api/v1/namespaces

在这个命令中，-k参数表示不验证SSL证书，–cert和–key参数分别指定客户端证书和私钥的路径，https:///api/v1/namespaces是请求的URL，用于获取所有命名空间的信息。

创建一个新的命名空间：

curl-k --cert /path/to/client.crt --key /path/to/client.key -X POST -H"Content-Type: application/json"-d'{ "apiVersion": "v1", "kind": "Namespace", "metadata": { "name": "new-namespace" } }'https://<api-server-address>/api/v1/namespaces

这个命令使用POST方法创建一个新的命名空间。-X POST指定请求方法为POST，-H "Content-Type: application/json"指定请求的内容类型为JSON，-d参数后面跟着的是要创建的命名空间的JSON数据。

返回结果分析

成功响应：如果请求成功，API Server会返回一个包含资源对象信息的JSON响应。例如，在获取所有命名空间的请求中，返回的JSON数据会包含所有命名空间的详细信息，如命名空间的名称、状态等。
错误响应：如果请求失败，API Server会返回一个包含错误信息的JSON响应。错误信息可能包括错误代码、错误描述等。例如，如果请求的URL不存在，会返回一个404错误；如果认证失败，会返回一个401错误。

解决API Server访问权限不足、请求失败等问题

访问权限不足

检查kubeconfig文件：确保kubeconfig文件中的认证信息正确，并且用户具有足够的权限。可以通过kubectl auth can-i命令检查用户是否有执行特定操作的权限。
修改角色和角色绑定：如果用户权限不足，可以通过创建或修改角色和角色绑定来授予用户更多的权限。例如，可以创建一个具有更高权限的角色，并将该角色绑定到用户或用户组。

请求失败

检查网络连接：确保客户端能够正常访问API Server的地址和端口。可以使用ping命令检查网络连通性，使用telnet命令检查端口是否开放。
检查API Server状态：可以通过kubectl get pods -n kube-system命令查看API Server的Pod状态，确保API Server正常运行。如果API Server的Pod出现异常，可以通过kubectl describe pod命令查看详细的日志信息，找出问题所在。