访问集群

以下命令作为反向代理的模式运行 kubectl，它处理对 apiserver 的定位并进行认证：

$ kubectl proxy --port=8080 &

然后可以使用 curl、wget 或者浏览器来访问 API，如下所示：

$ curl http://localhost:8080/api/

{
    "versions": [
        "v1"
    ]
}

kubectl config view 不再显示 token。 使用 kubectl describe secret … 获取 default service account 的 token，如下所示：

$ APISERVER=$(kubectl config view | grep server | cut -f 2- -d ":" | tr -d " ")

$ TOKEN=$(kubectl describe secret $(kubectl get secrets | grep default | cut -f1 -d ' ') | grep -E '^token' | cut -f2 -d':' | tr -d '\t')

$ curl $APISERVER/api --header "Authorization: Bearer $TOKEN" --insecure
{
    "kind": "APIVersions",
    "versions": [
        "v1"
    ],
    "serverAddressByClientCIDRs": [
        {
            "clientCIDR": "0.0.0.0/0",
            "serverAddress": "10.0.1.149:443"
        }
    ]
}

     以上示例使用--insecure 标志。 这使得它容易受到 MITM 攻击

     当 kubectl 访问集群时，它使用存储的根证书和客户端证书来访问服务器，这些安装在~/.kube目录中

     由于集群证书通常是自签名的，因此可能需要特殊配置才能让 http 客户端使用根证书

对于某些群集，apiserver 可能不需要身份验证；可以选择在本地主机上服务，或者使用防火墙保护

     对此还没有一个标准配置，这种方法可能与未来的高可用性支持相冲突

• 要获取该库，请运行以下命令：go get k8s.io/client-go/<version number>/kubernetes

         请参阅 https://github.com/kubernetes/client-go 以查看支持哪些版本
  

• 使用 client-go 客户端编程

         请注意，client-go 定义了自己的 API 对象
  
         因此如果需要，请从 client-go 而不是从主存储库导入 API 定义，例如导入 k8s.io/client-go/1.4/pkg/api/v1 是正确的
  

  Go 客户端可以使用与 kubectl 命令行工具相同的 kubeconfig 文件 来定位和验证 apiserver

要使用 Python client，请运行以下命令：

$ pip install kubernetes

     查看 Python 客户端库页面 获取更多的安装选择

Python 客户端可以使用与 kubectl 命令行工具相同的 kubeconfig 文件 来定位和验证 apiserver

     还有更多的客户端库可以用来访问 API。有关其他库的验证方式，请参阅文档

向 apiserver 认证的推荐方法是使用 service account 凭据 ：

1. 通过 kube-system，pod 与 service account 相关联，并且将该 service account 的凭据(token) 放入该 pod 中每个容器的文件系统树中，位于 /var/run/secrets/kubernetes.io/serviceaccount/token
2. 如果可用，证书包将位于每个容器的文件系统树的 /var/run/secrets/kubernetes.io/serviceaccount/ca.crt 位置，并用于验证 apiserver 的服务证书
3. 最后，用于 namespace API 操作的默认 namespace 放在每个容器中的 /var/run/secrets/kubernetes.io/serviceaccount/namespace 中

在 pod 中，连接到 API 的推荐方法是：

• 将 kubectl proxy 作为 pod 中的一个容器来运行，或作为在容器内运行的后台进程

         将 Kubernetes API 代理到 pod 的本地主机接口，以便其他任何 pod 中的容器内的进程都可以访问它
  

• 使用 Go 客户端库，并使用 rest.InClusterConfig() 和 kubernetes.NewForConfig() 函数创建一个客户端

     在以上的几种情况下，都需要使用 pod 的凭据与 apiserver 进行安全通信

可以选择以下几种方式从集群外部连接到 node、pod 和 service：

• 通过 public IP 访问 service：使用 NodePort 和 LoadBalancer 类型的 service，以使 service 能够在集群外部被访问到

         根据群集环境，这可能会将服务暴露给公司网络，或者可能会将其暴露在互联网上。想想暴露的服务是否安全。它是否自己进行身份验证? 
  
         在大多数情况下，应用程序开发人员不需要通过 node IP 直接访问节点
  
         可以将 pod 放在服务后面：从一组副本（例如为了调试）访问一个特定的 pod，请在 pod 上放置一个唯一的 label，并创建一个选择该 label 的新服务
  

• 通过 Proxy 规则访问 service、node、pod：在访问远程服务之前，请执行 apiserver 认证和授权

         如果服务不够安全，无法暴露给互联网，或者为了访问节点 IP 上的端口或进行调试，请使用这种方式
  
         代理可能会导致某些 Web 应用程序出现问题
  
         仅适用于 HTTP/HTTPS
  

• 在集群内访问 node 和 pod：运行一个 pod，然后使用 kubectl exec 命令连接到 shell。从该 shell 中连接到其他 node、pod 和 service

         有些集群可能允许 ssh 到集群上的某个节点。 从那个节点可以访问到集群中的服务
  
         这是一个非标准的方法，它可能将在某些集群上奏效，而在某些集群不行
  
         这些节点上可能安装了浏览器和其他工具也可能没有。群集 DNS 可能无法正常工作
  

通常集群内会有几个在 kube-system 中启动的服务。使用 kubectl cluster-info 命令获取该列表：

$ kubectl cluster-info

Kubernetes master is running at https://104.197.5.247
elasticsearch-logging is running at https://104.197.5.247/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy
kibana-logging is running at https://104.197.5.247/api/v1/namespaces/kube-system/services/kibana-logging/proxy
kube-dns is running at https://104.197.5.247/api/v1/namespaces/kube-system/services/kube-dns/proxy
grafana is running at https://104.197.5.247/api/v1/namespaces/kube-system/services/monitoring-grafana/proxy
heapster is running at https://104.197.5.247/api/v1/namespaces/kube-system/services/monitoring-heapster/proxy

     这显示了访问每个服务的代理 URL

例如，此集群启用了集群级日志记录（使用Elasticsearch），如果传入合适的凭据，可以在该地址 https://104.197.5.247/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/ 访问到，或通过 kubectl 代理，例如：http://localhost:8080/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/