3.2 Kubernetes API Server深度剖析：RESTful API、认证授权、准入控制机制-编程阁

3.2 Kubernetes API Server深度剖析：RESTful API、认证授权、准入控制机制

引言

API Server是Kubernetes的核心组件，所有组件都通过API Server进行通信。深入理解API Server的RESTful API、认证授权和准入控制机制，是掌握Kubernetes的关键。本文将详细解析API Server的工作原理。

一、API Server概述

1.1 API Server的作用

Kubernetes的统一入口
RESTful API服务
数据验证和转换
认证授权
准入控制

1.2 API Server架构

Client Request │ ▼ ┌──────────────┐ │ Authentication│ 认证 └──────┬───────┘ │ ▼ ┌──────────────┐ │ Authorization │ 授权 └──────┬───────┘ │ ▼ ┌──────────────┐ │ Admission │ 准入控制 │ Control │ └──────┬───────┘ │ ▼ ┌──────────────┐ │ Validation │ 验证 └──────┬───────┘ │ ▼ ┌──────────────┐ │ etcd │ 存储 └──────────────┘

二、RESTful API

2.1 API版本

# 核心API组/api/v1# 命名API组/apis/apps/v1 /apis/extensions/v1beta1

2.2 资源操作

# 创建资源POST /api/v1/namespaces/{namespace}/pods# 获取资源GET /api/v1/namespaces/{namespace}/pods/{name}# 更新资源PUT /api/v1/namespaces/{namespace}/pods/{name}# 删除资源DELETE /api/v1/namespaces/{namespace}/pods/{name}# 列表资源GET /api/v1/namespaces/{namespace}/pods

2.3 使用kubectl

# kubectl是API Server的客户端kubectl get pods# 等价于curl-X GET https://api-server:6443/api/v1/namespaces/default/pods# 创建资源kubectl create -f pod.yaml# 等价于curl-X POST https://api-server:6443/api/v1/namespaces/default/pods\-H"Content-Type: application/yaml"\-d @pod.yaml

三、认证（Authentication）

3.1 认证方式

1. 证书认证

# 客户端证书--client-ca-file=/etc/kubernetes/pki/ca.crt# 使用证书curl--cert client.crt --key client.key\https://api-server:6443/api/v1/pods

2. Token认证

# Bearer Tokencurl-H"Authorization: Bearer <token>"\https://api-server:6443/api/v1/pods

3. ServiceAccount认证

apiVersion:v1kind:ServiceAccountmetadata:name:my-sa---apiVersion:v1kind:Podspec:serviceAccountName:my-sacontainers:-name:appimage:myapp:latest

3.2 认证链

API Server按顺序尝试以下认证方式：

X509客户端证书
Bearer Token
ServiceAccount Token
匿名请求

四、授权（Authorization）

4.1 RBAC授权

Role定义：

apiVersion:rbac.authorization.k8s.io/v1kind:Rolemetadata:name:pod-readerrules:-apiGroups:[""]resources:["pods"]verbs:["get","watch","list"]

RoleBinding：

apiVersion:rbac.authorization.k8s.io/v1kind:RoleBindingmetadata:name:read-podssubjects:-kind:Username:aliceapiGroup:rbac.authorization.k8s.ioroleRef:kind:Rolename:pod-readerapiGroup:rbac.authorization.k8s.io

4.2 ClusterRole和ClusterRoleBinding

apiVersion:rbac.authorization.k8s.io/v1kind:ClusterRolemetadata:name:cluster-adminrules:-apiGroups:["*"]resources:["*"]verbs:["*"]

4.3 授权检查流程

SiameseUIE Web界面功能详解：示例预填、Schema校验、结果导出一体化

SiameseUIE Web界面功能详解：示例预填、Schema校验、结果导出一体化 1. 这不是传统NLP工具，而是一个“会思考”的中文信息抽取工作台你有没有遇到过这样的场景：手头有一堆新闻稿、客服对话或产品评论，想快速提取其中的人名、公…

李华

手把手用LangSmith高效调试LangChain应用

💓 博客主页：借口的CSDN主页 ⏩ 文章专栏：《热点资讯》手把手教程：利用LangSmith高效调试LangChain应用目录手把手教程：利用LangSmith高效调试LangChain应用引言：LLM应用调试的“黑盒困境” 一、核心价…

李华

跨境电商必备：中英日韩粤五语种语音同步识别

跨境电商必备：中英日韩粤五语种语音同步识别在跨境电商运营中，客服录音分析、多语种商品视频字幕生成、海外直播实时转录、跨语言会议纪要整理——这些高频场景长期被“听不懂、分不清、跟不上”三大难题困扰。传统语音识别工具要么只支持单一语言&…

李华

用Python分析Fun-ASR的history.db，提取全部记录

用Python分析Fun-ASR的history.db，提取全部记录 Fun-ASR作为一款面向本地部署的语音识别系统，其WebUI界面简洁直观，但真正沉淀业务价值的，往往不是界面上一闪而过的识别结果，而是那些被默默存入webui/data/history.db…

李华

短视频创作者福音！IndexTTS 2.0快速生成贴合配音

短视频创作者福音！IndexTTS 2.0快速生成贴合配音你有没有过这样的经历：剪完一条30秒的vlog，反复试了7种AI配音，不是语速太快赶不上画面切换，就是情绪太平像机器人念稿，最后只好自己录——结果背景音里全是…

李华

LVGL与ESP32结合实现智能中控：项目应用

以下是对您提供的博文内容进行深度润色与工程化重构后的版本。我以一位深耕嵌入式GUI开发多年、亲手调通过数十款LVGLESP32项目的工程师视角，彻底重写全文—— 去除所有AI腔调、模板化结构与空泛术语，代之以真实项目中的踩坑经验、性能实测数据、代…

李华