k8sapi访问控制流程

大家好，感谢邀请，今天来为大家分享一下k8sapi访问控制流程的问题，以及和k8s 访问pod的一些困惑，大家要是还不太明白的话，也没有关系，因为接下来将为大家分享，希望可以帮助到大家，解决大家的问题，下面就开始吧！

文章目录：

• 1、K8S学习指南(24)-k8s核心对象IngressController
• 2、K8s服务调用的方法和原理,一篇文章给你说明白
• 3、【云原生】k8s集群命令行kubectl基础操作命令实践详解
• 4、K8S进阶—K8S认证与授权
• 5、apisix在k8s上的实践
• 6、k8s架构与组件详解

K8S学习指南(24)-k8s核心对象IngressController

在Kubernetes（K8s）中，Ingress Controller是一个关键的组件，用于实现Ingress对象的规则。Ingress Controller通过读取Ingress对象的规则并将其转化为配置，来管理集群内外部服务的访问。Ingress Controller是Kubernetes中的一种控制器，用于处理Ingress对象的规则。

换句话说，Ingress controller是由Kubernetes管理的负载均衡器。如果是在公有云上Ingress Nginx，可以根据 Installation Guide 选择合适的方式。公有云有完善的网络负载均衡，类型可以选择 LoadBalancer 。 但这里是通过kubeadm自行搭建的K8S集群，所以选择 Bare-Metal 方式。

Ingress 以表明在集群中如果有多个 Ingress 控制器时，应该使用哪个 Ingress 控制器。 如果不定义 ingress.class ，云提供商可能使用默认的 Ingress 控制器。Ingress 是对集群中服务的外部访问进行管理的 API 对象，典型的访问方式是 HTTP。

ingress controller ：核心是一个deployment，实现方式有很多，比如nginx， Contour， Haproxy， trafik， Istio，需要编写的yaml有：Deployment， Service， ConfigMap， ServiceAccount（Auth），其中rvice的类型可以是NodePort或者LoadBalancer。

编写Ingress YAML文件，定义Ingress的规则、服务后端等信息。 使用kubectl命令行，将YAML文件应用到K8s集群中，创建Ingress资源对象。配置负载均衡 为Ingress配置负载均衡器，将外部访问请求分发到K8s集群中的服务。 根据需要选择公共负载均衡器或内部负载均衡器。

上使用 DaemonSet，并对节点打上相应的标签和容忍度。在测试阶段，可以直接使用之前创建的 Pod 和 Service，无需额外创建映射服务，因为 Ingress 控制器采用 hostnetwork 模式，不需要额外端口映射。在 Windows 主机上，只需解析 IP （如 k8s-master03 或 k8s-master02），访问时无需指定端口。

K8s服务调用的方法和原理,一篇文章给你说明白

在K8s中，服务（Service）提供了一种网络抽象，允许内部Pod间通过Service名进行通信。例如，一个名为frontend的Service可以通过frontend或frontend..svc.cluster.local的DNS名称访问同一命名空间内的服务。

k8s设计rvice的主要原因是，为了支持应用不依赖于特定硬件资源的移动性和高可用性。pod的IP通常不固定，因为cni会为每个节点分配独立的子网，避免硬编码IP导致应用锁定在特定节点。接下来，我们将通过iptables模拟clusterIP和nodePort服务。

服务发现与负载均衡则通过Service实现，动态调整流量分配，确保应用的高可用与负载均衡。通过实践，可以深入理解Kubernetes如何通过自动装箱、水平扩缩、自动化上线回滚、自我修复与服务发现与负载均衡等特性，实现集群管理的高效、稳定与自动化，从而在容器化时代为企业提供强大的应用部署与管理能力。

k8s采用附加组件（CoreDNS）为集群提供DNS服务，会为每个服务创建DNS记录，CoreDNS只为Service和Pod创建DNS记录。kubernetes强烈推荐采用DNS方式.例如，如果你在 Kubernetes 命名空间 my-ns 中有一个名为 my-rvice 的服务， 则控制平面和 DNS 服务共同为 my-rvice.my-ns 创建 DNS 记录。

【云原生】k8s集群命令行kubectl基础操作命令实践详解

1、Replication Controller 创建 myhello-rc.yaml 文件并写入内容。通常不会单独配置 pod，而是通过副本控制器资源部署 pod。原因在于，单独配置 pod 时，集群升级时需要将当前节点上的所有 pod 排空，这时 pod 没有任何副本控制器控制，集群对其没有预期，节点排空后，pod 将无法被调度和重生。

2、在Kubernetes（K8s）环境中，Kubectl命令行是管理员进行集群操作的首选。Kubectl在中查找配置文件，通常位于$HOME/.kube目录下的config文件。不过，用户可以通过设置KUBECONFIG环境变量或使用--kubeconfig参数指定自定义的kubeconfig文件路径，以适应不同的工作环境或项目需求。

3、无报错，最后出现以下，表示初始化完成，根据提示还需要操作。根据用户是root或者普通用户操作，由于大多环境不会是root用户，我也是普通用户，所以选择普通用户操作命令：如果是root用户，以下命令：初始化完成，用最后的提示命令 kubeadm join... 在node机器上加入集群即可。

4、初始化集群后，可以通过kubectl查看每个节点的角色，如redis-cluster-0为master，与其从节点redis-cluster-3建立连接。同样，redis-cluster-1和redis-cluster-4，以及redis-cluster-2和redis-cluster-5也是这种关系。

5、验证与测试通过KubeSphere控制台和kubectl命令行，部署并验证Nginx Web服务器。你可以查看到Deployment、Pod和Service的详细信息，确保集群功能正常。 常见问题与总结本文详述了从基础配置到部署验证的全程，旨在帮助你快速理解和部署Kubernetes集群。如果你在过程中遇到问题，参考常见问题部分。

6、首先Istio命令行，确保有kubernetes运行环境，Linux使用特定命令，Mac使用brew，其他环境Istio配置环境变量。使用install命令控制面，默认使用kubectl配置的kubernetes集群，使用demo profile。

K8S进阶—K8S认证与授权

1、创建用户认证授权的kubeconfig文件为了使用特定命名空间的资源，用户需要创建具有相应权限的**kubeconfig文件**。**自定义kubeconfig文件的步骤**包括配置、验证以及为特定用户添加访问权限。本文概述了Kubernetes中的认证、授权以及准入控制机制，这些机制共同保障了Kubernetes集群的安全性和可管理性。

2、鉴权策略包括基于角色的访问控制（RBAC）与 Webhook。RBAC 是一种基于角色的访问控制机制，通过自定义角色并将其与特定的用户、用户组或 rviceaccounts 关联，实现权限控制。Webhook 模式则在鉴权过程中调用外部 REST 服务进行断。开启 Webhook 需要修改 apirver 的启动参数与配置文件格式。

3、搭建Registry私有仓库需准备第一台服务器进行配置，第二台服务器相应操作。搭建Harbor私有仓库时，环境与Registry类似。首先，Harbor，可通过GitHub离线包并上传至服务器。接着，设置host，以通过域名访问Harbor。修改Harbor配置文件，创建伪证书以开启HTTPS。

4、kube-apirver：提供API服务，管理资源和认证。 kube-controller-manager：负责资源的自动管理和配置。 kube-scheduler：动态调度Pod以优化资源使用。 etcd：作为分布式存储，实现服务发现和配置共享。 kube-proxy：维护Pod与外部网络的连接。 kubt：运行在每个节点上，管理Pod的生命周期。

apisix在k8s上的实践

在实践中，部署前需选择合适EC2实例部署ETCD集群，避免直接部署于EKS上以确保数据持久性与稳定性。使用Helm简化APISIX在EKS上的部署，并配置其连接ETCD集群。同时，APISIX Dashboard的部署与使用也需遵循相应步骤，通过配置文件指定ETCD，实现可视化管理。

因此，云原生API需求提升，应运而生的APISIX满足微服务架构及云原生场景需求，成为高性能全动态API代表。

最后，我们应用 APISIXRoute，并检查它是否成功将流量至目标服务。APISIX Ingress 控制器是用于 Kubernetes 的 Apache APISIX 实现，它提供了一种声明式的方法来管理配置。

k8s架构与组件详解

k8s在设计是遵循c-s架构的，也就是我们图中apirver与其余组件的交互。在生产中通常会有多个Master以实现K8s服务高可用。K8s集群至少有一个工作节点，节点上运行K8s所管理的容器化应用。

K8S架构包括MasterNode和WorkNode两大部分，以及五大组件。MasterNode包含三个程序，而WorkNode则是抽象的概念，通常用于运行kube-proxy和kubt进程。MasterNode和WorkNode各自具有不同的角色，但它们在实际部署中应分别运行以保证集群的稳定性和安全性。

API Server：作为核心组件，提供集群管理和通信接口，确保所有操作的协调和一致性。Etcd：分布式存储，存储关键集群状态和元数据，确保数据一致性。K8S的广泛应用 微服务：K8S简化了复杂架构的部署和管理，支持服务间的高效通信。自动化部署：通过标准化操作，加快应用上线速度和减少错误。

Kubernetes（K8s），以自动化容器操作为核心，构建了强大的运维平台。它致力于实现两地三中心的高可用架构，包括本地生产中心、灾备中心和异地备份，以解决数据一致性问题。K8s的etcd组件作为服务发现存储，具备Zookeeper和doozer的特性，支持四层服务发现，如基于TCP的DNS服务。

k8sapi访问控制流程的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于k8s 访问pod、k8sapi访问控制流程的信息别忘了在本站进行查找哦。