kubernetes核心之kube-apiserver剖析

最新推荐文章于 2025-02-17 17:37:40 发布
原创 最新推荐文章于 2025-02-17 17:37:40 发布 · 613 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

本文介绍了Kubernetes中apiserver如何使用go-restful框架提供RESTful服务,包括Container、WebService和Route的概念,以及gRPC框架的高效特性,如ProtocolBuffers序列化和HTTP/2协议的利用。同时,概述了kube-apiserver的命令行启动流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

流程

  • 我们首先用一次简单的pod创建流程来演示apiserver是如何运行的
    在这里插入图片描述

go-restful原理

  • rest是现代客户端应用程序通过http协议与http server进行通信的机制,也是目前最流程的API设计规范,它支持基本的CRUD操作,具体规范就是用GET请求查询,用POST请求创建,用PUT请求修改,用DELETE请求删除
  • Kubernetes选择了使用go-restful框架,这种框架支持多个Container,每个Container都相当于一个http server,不同的Container之间检控不同的地址和端口,对外提供不同的http服务,每个Container可以包含多个WebService,WebService相当于一组不同服务的分类,每个WebService下面又包含了多个Router,Router根据http请求的URL路由到对应的处理函数(Handler Func)
    在这里插入图片描述

github.com/emicklei/go-restful@v2.9.5+incompatible/container.go

// Find best match Route ; err is non nil if no match was found
var webService *WebService
var route *Route
var err error
func() {
  c.webServicesLock.RLock()
  defer c.webServicesLock.RUnlock()
  webService, route, err = c.router.SelectRoute(
    c.webServices,
    httpRequest)
}()
...
route.Function(wrappedRequest, wrappedResponse)
...

gRPC框架

  • gRPC是Google开发的RPC服务,分为两部分,RPC框架和数据序列化框架
  • gPRC是一个超快速、超高效的RPC服务,可以在许多主流的编程语言、平台、框架中轻松创建高性能、可扩展的API和微服务
  • gRPC默认使用Protocol Buffers作为IDL(Interface Description Language)语言,Protocol Buffers,简称Protobuf,是一种高性能的开源二进制序列化协议,可以轻松定义服务并自动生成客户端库,主要用于结构化数据的序列化和反序列化
  • gRPC基于HTTP/2协议标准实现,它复用了很多HTTP/2的特性,例如双向流、流控制、报头压缩,以及通过单个TCP连接的多路复用请求等

命令行参数

https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/

启动流程

在这里插入图片描述

【k8s源码分析-Apiserver-2】kube-apiserver 结构概览以及主体部分源码分析
叮当猫的喵i
12-25 1554
假 设 所 有 的 认 证 器 都 被 启 用 , 当 客 户 端 发 送 请 求 到 kubeapiserver服务,该请求会进入Authentication Handler函数(处理认 证相关的Handler函数),在Authentication Handler函数中,会遍历已启用的认证器列表, 尝试执行每个认证器, 当有一个认证器返回 true时,则认证成功,否则继续尝试下一个认证器。当客户端发起一个请求,经过认证阶段时,只要有一个认证器通过,则认证成功。在客户端请求通过认证之后, 会来到授权阶段。
kube-apiserver 安装路由汇总
fengcai_ke的博客
09-20 631
kube-apiserver路由汇总
kube-apiserver v1.11.2 源码分析
纵横四海的博客
12-31 1854
kubernetes 版本 v1.11.2 go restfulrestfulgolang语言的框架,github代码为github.com/emicklei/go-restful 架构图 简单例子 package main import ( "net/http" "github.com/emicklei/go-restful&
Kubernetes集群部署教程-kube-apiserver部署
guting18893110463的博客
08-15 722
学习更多内容,请关注,将为你分享更多技术内容。本文使用二进制的方式进行Kubernetes集群部署安装,使用单Master的方式进行部署安装从github下载发行版的二进制包,手动部署每个组件,组成Kubernetes集群。推荐使用二进制包部署Kubernetes集群,虽然手动部署麻烦点,期间可以学习很多工作原理,也利于后期维护。
k8s集群二进制安装--kube-apiserver部署
归来仍少年
09-28 1551
4.master上kube-apiserver部署 4.1 生成apiserver的证书 cd /root/TLS/k8s #配置ca-config vi ca-config.json { “signing”: { “default”: { “expiry”: “87600h” }, “profiles”: { “kubernetes”: { “expiry”: “87600h”, “usages”: [ “signing”, “key encipherment”, “server auth”, “clie
二进制安装k8s apiserver 组件启动失败
weixin_47245762的博客
05-25 1512
查看启动api-server.conf配置文件对应路径文件均存在,重新生成证书以及token.csv依然启动失败,在api-server中设置的,开启了准入控制的一些插件,如下。解决:在api-server.servervice中加入此变量。$KUBE_APISERVER_OPTS导致问题,此变量是。由于启动文件api-server.service缺少。再次重新加载配置文件并启动,启动正常。
Kubernetes_APIServer_APIServer简介
毛毛的专栏
03-26 4885
api server 是 Kubernetes 集群的网关。它是 Kubernetes 集群中的所有用户、自动化和组件都可以访问的中心接触点。API Server通过 HTTP 实现 RESTful API,执行所有 API 操作,并负责将 API 对象存储到持久存储后端。
Kubernetes部署kube-state-metrics
02-23
kube-state-metrics通过Kubernetes API server的Watch机制实时监控对象的状态变化,当检测到变化时,它会生成相应的度量。生成的度量数据包括但不限于: - Pod的生命周期状态(如Pending、Running、Succeeded、...
kubernetes源码分析-kube-apiserver
xiyanxiyan10的专栏
02-13 506
基于属性的访问控制(Attribute-based access control - ABAC)定义了访问控制范例,其中通过使用将属性组合在一起的策略来向用户授予访问权限。启用ABAC鉴权器需要额外增加一个。
kubernetes组件合集】深入解析Kubernetes组件之二:kube-apiserver
异构算力老群群(在读985计算机博士生)的技术博客
04-18 1006
kube-apiserverKubernetes集群中的控制面组件,它充当了整个系统的前端接口。它负责处理来自用户、命令行工具和其他组件的API请求,提供对集群的管理和操作。
云原生 · Kubernetes】部署kube-apiserver集群
念舒C.ying
09-06 1569
advertise-address :apiserver 对外通告的 I(kubernetes 服务后端节点 IP);default-*-toleration-seconds :设置节点异常相关的阈值;- max-*-requests-inflight :请求相关的最大阈值; - etcd-* :访问 etcd 的证书和 etcd 服务器地址; - bind-address : https 监听的 IP,不能为 127.0.0.1 ,否则外界不能访问它的安全端口 5443;- secret-po
kube-apiserver 权限控制
Lemon熊的博客
01-16 1215
kube-apiserverKubernetes API Server)作为Kubernetes集群的请求入口,接收集群中组件与客户端的访问请求,kube-apiserver对接口请求访问,提供了3种安全权限控制,每个请求都需要经过认证、授权及准入控制器才有权限操作资源对象。
k8s二进制安装-5,安装kube-apiserver
大老表的博客
02-17 6183
下载kubernetes 二进制文件 cd /usr/local/src/ wget http://xxxxx/1.19/kubernetes-server-linux-amd64.tar.gz tar xzf kubernetes-server-linux-amd64.tar.gz kubernetes cd kubernetes/server/bin/ cp kube-apiserver kube-controller-manager kube-scheduler kubectl /opt/kuber
[kubernetes]Kube-APIServer
weixin_38805083的博客
12-25 1285
定义groupGroupName定义groupversion定义SchemeBuildervar (将对象加入SchemeBuilderr!= nil {return err&Pod{},}}List单一对象数据结构• TypeMeta• Spec• Status。
k8s高可用二进制安装(3)Apiserver
zzixwx的博客
02-26 747
k8s apiserver
K8S------Kubernetes双Master负载均衡集群搭建
下雨天的放羊娃的博客
08-15 5925
目录前言环境准备一.Master02 节点部署1.在Master01节点上拷贝证书文件及服务管理文件2.修改Apiserver配置文件3.启动服务4.查看Node节点状态二.负载均衡部署1.安装Nginx服务2.修改Nginx配置文件,配置反向代理负载均衡3.启动Nginx服务4.部署Keepalived服务5.修改Keepalived配置文件7.创建Nginx状态检查脚本8.启动Keepalived服务9.修改两个Node节点上的配置文件10.测试三.部署 Dashboard UI1.Dashboard
Kubernetes学习二:Kubernetes集群搭建之部署kubernetes server
不积跬步无以至千里
03-13 898
目录 1、解压缩文件 2、部署kube-apiserver组件 创建TLS Bootstrapping Token 3、创建Apiserver配置文件 4、创建apiserver systemd文件 5、启动服务 6、部署kube-scheduler组件 创建kube-scheduler配置文件 7、部署kube-controller-manager组件 创建kube-control...
深入解析Kubernetes内部通信:从gRPC到Protobuf的实战指南
LixxCn的博客
02-17 972
gRPC是一种基于HTTP/2协议的远程过程调用(RPC)框架,由Google开源。高性能:使用HTTP/2的多路复用特性,减少网络延迟。强类型:通过Protobuf定义接口和数据结构,避免数据解析错误。跨语言支持:自动生成客户端和服务端代码,支持多种编程语言。在Kubernetes中,etcd与的通信正是基于gRPC,以满足集群元数据高频读写的性能需求。通过.proto理解Kubernetes的通信机制,不仅是掌握集群运维的关键,更是设计高性能分布式系统的基石。
【实战加详解】二进制部署k8s高可用集群系列教程六 -部署 kube-apiserver
JohnYang's 优快云 Home
10-12 619
实战加详解 - 完美解决二进制部署k8s高可用集群中ssl证书以及TLS Bootstrap机制的问题
/etc/kubernetes/manifests/kube-apiserver.yaml 这个配置文件没了 如何重新生成 或者你提供一个给我
最新发布
02-27
<think>好的,用户现在的问题是关于k8s集群中api-server服务消失,并且他们提到/etc/kubernetes/manifests/kube-apiserver.yaml这个配置文件丢失了,想要重新生成或获取一个示例。我需要仔细分析他们的需求,然后提供有效的解决方案。 首先,用户之前已经得到过如何重启api-server的指导,现在遇到了更具体的问题,即配置文件丢失。这可能发生在手动误删除、系统故障或升级过程中。我需要考虑不同部署方式的情况,尤其是kubeadm部署的集群,因为这是最常见的,而kubeadm通常会使用静态Pod来管理控制平面组件。 接下来,用户可能需要知道如何重新生成这个文件。对于kubeadm部署的集群,这个文件通常由kubeadm自动生成,位于/etc/kubernetes/manifests/目录下。如果文件丢失,可能需要通过kubeadm命令重新生成,或者从备份中恢复。如果没有备份,可能需要手动创建一个,但需要确保配置正确,否则可能导致集群无法正常工作。 我需要考虑用户可能没有备份,所以需要提供一个生成该文件的方法。kubeadm config print init-defaults命令可以输出默认的配置,用户可能需要根据现有的集群配置进行调整。另外,如果用户曾经使用kubeadm init的配置文件,可能可以从中提取相关部分。 另外,用户可能需要一个示例的yaml文件,以便手动创建。这时候需要提醒用户根据自己集群的实际参数进行调整,比如证书路径、etcd地址、服务网段等。需要强调示例中的参数可能需要修改,否则直接使用可能导致问题。 此外,用户可能不知道如何验证生成的配置文件是否正确,可能需要指导他们如何应用这个文件,并监控kubelet是否成功启动api-server的Pod。可能需要检查日志,确保没有配置错误。 还要考虑到用户可能使用的是高可用集群,有多个控制平面节点,这时候每个节点的kube-apiserver.yaml可能会有不同的参数,比如绑定到不同的IP地址。需要提醒用户注意这些差异。 最后,需要提醒用户备份的重要性,避免未来再次出现类似问题。如果用户没有备份,可能需要指导他们如何定期备份关键配置文件。 总结步骤可能包括: 1. 检查备份,如果有则恢复。 2. 使用kubeadm重新生成配置文件。 3. 手动创建配置文件,并提供示例,但需要根据实际情况调整。 4. 应用配置后,重启kubelet服务。 5. 验证api-server是否正常运行。 需要注意的潜在问题包括证书路径错误、etcd连接信息不正确、网络参数不匹配等,这些都会导致api-server无法启动。因此,在提供示例时,必须强调根据实际环境修改参数,并检查相关文件是否存在。 可能还需要提醒用户,如果是多节点集群,每个控制平面节点都需要正确的配置文件,确保一致性。此外,如果用户使用的是外部etcd,配置中的etcd服务器地址和证书路径也需要相应调整。 最后,确保回答结构清晰,分步骤说明,并提供验证方法,帮助用户确认操作成功。</think>以下是针对kube-apiserver.yaml配置文件丢失的完整解决方案,请根据你的集群部署情况选择对应方法: --- ### **一、kubeadm部署集群的恢复方案** #### 方法1:通过kubeadm重新生成 ```bash # 1. 生成默认配置文件模板 kubeadm config print init-defaults > kubeadm-config.yaml # 2. 修改旧集群配置参数(需要回忆或查找历史配置) # 重点检查以下参数: # - localAPIEndpoint.advertiseAddress # - networking.serviceSubnet/podSubnet # - kubernetesVersion # - 证书相关路径 # 3. 重新生成控制平面清单 sudo kubeadm init phase control-plane apiserver --config kubeadm-config.yaml # 4. 确认文件生成 ls -l /etc/kubernetes/manifests/kube-apiserver.yaml ``` #### 方法2:从其他控制平面节点复制(多节点集群) ```bash # 1. 从正常节点拷贝文件 scp root@healthy-control-plane:/etc/kubernetes/manifests/kube-apiserver.yaml /etc/kubernetes/manifests/ # 2. 修改节点特定参数 sudo vi /etc/kubernetes/manifests/kube-apiserver.yaml # 需要修改的参数: # --advertise-address=当前节点IP # --node-name=当前节点名称 ``` --- ### **二、手动创建配置文件模板** ```yaml apiVersion: v1 kind: Pod metadata: annotations: kubeadm.kubernetes.io/kube-apiserver.advertise-address.endpoint: 10.0.0.1:6443 labels: tier: control-plane component: kube-apiserver name: kube-apiserver namespace: kube-system spec: containers: - command: - kube-apiserver - --advertise-address=10.0.0.1 # 必须修改为当前节点IP - --allow-privileged=true - --authorization-mode=Node,RBAC - --client-ca-file=/etc/kubernetes/pki/ca.crt - --enable-admission-plugins=NodeRestriction - --enable-bootstrap-token-auth=true - --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt - --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt - --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key - --etcd-servers=https://127.0.0.1:2379 # 如果是外部etcd需修改 - --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt - --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key - --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname - --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt - --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key - --requestheader-allowed-names=front-proxy-client - --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt - --requestheader-extra-headers-prefix=X-Remote-Extra- - --requestheader-group-headers=X-Remote-Group - --requestheader-username-headers=X-Remote-User - --secure-port=6443 - --service-account-issuer=https://kubernetes.default.svc.cluster.local - --service-account-key-file=/etc/kubernetes/pki/sa.pub - --service-account-signing-key-file=/etc/kubernetes/pki/sa.key - --service-cluster-ip-range=10.96.0.0/12 # 需与历史配置一致 - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key image: registry.k8s.io/kube-apiserver:v1.27.4 # 需与实际版本一致 livenessProbe: failureThreshold: 8 httpGet: host: 10.0.0.1 # 当前节点IP path: /livez port: 6443 scheme: HTTPS initialDelaySeconds: 10 periodSeconds: 10 timeoutSeconds: 15 name: kube-apiserver readinessProbe: httpGet: host: 10.0.0.1 # 当前节点IP path: /readyz port: 6443 scheme: HTTPS initialDelaySeconds: 10 timeoutSeconds: 15 resources: requests: cpu: 250m volumeMounts: - mountPath: /etc/kubernetes/pki name: k8s-certs readOnly: true - mountPath: /etc/ssl/certs name: ca-certs readOnly: true hostNetwork: true priorityClassName: system-node-critical volumes: - hostPath: path: /etc/kubernetes/pki type: DirectoryOrCreate name: k8s-certs - hostPath: path: /etc/ssl/certs type: DirectoryOrCreate name: ca-certs ``` --- ### **三、关键配置验证步骤** ```bash # 1. 检查证书文件是否存在 ls -l /etc/kubernetes/pki/apiserver.* ls -l /etc/kubernetes/pki/etcd/ca.crt # 2. 应用配置文件后触发kubelet sudo systemctl restart kubelet # 3. 观察Pod创建状态 watch -n1 "crictl ps | grep kube-apiserver" # 4. 查看错误日志(如果启动失败) journalctl -u kubelet -n 100 --no-pager | grep -C 20 apiserver ``` --- ### **四、注意事项** 1. **IP地址一致性**: - `--advertise-address` 必须设置为当前节点的真实IP - 所有`host`字段需要与节点IP一致 2. **证书路径验证**: ```bash # 确认所有证书文件存在 sudo find /etc/kubernetes/pki -name 'apiserver*' ``` 3. **版本匹配原则**: - kube-apiserver镜像版本必须与集群当前版本一致 - 可通过其他控制平面节点查看历史版本: ```bash docker images | grep kube-apiserver ``` 4. **多节点集群处理**: - 每个控制平面节点的`--etcd-servers`参数需包含所有etcd节点地址 - 示例: ``` --etcd-servers=https://10.0.0.1:2379,https://10.0.0.2:2379,https://10.0.0.3:2379 ``` --- ### **五、灾备建议** 1. 定期备份关键配置文件: ```bash # 备份整个manifests目录 sudo tar czvf /backup/k8s-manifests-$(date +%Y%m%d).tar.gz /etc/kubernetes/manifests/ # 备份证书目录 sudo tar czvf /backup/k8s-pki-$(date +%Y%m%d).tar.gz /etc/kubernetes/pki/ ``` 2. 使用版本控制系统管理配置文件: ```bash # 将manifests目录纳入git管理 cd /etc/kubernetes sudo git init sudo git add manifests/ sudo git commit -m "Initial k8s configs" ``` 如果配置恢复后仍然无法启动,请检查以下日志获取具体错误信息: ```bash # 查看kubelet日志 journalctl -u kubelet --since "5 minutes ago" | grep -i apiserver # 查看容器启动日志(如果已创建容器) crictl logs $(crictl ps -a | grep apiserver | awk '{print $1}') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Clarence Liu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值