3.2 Kubernetes API Server深度剖析：RESTful API、认证授权、准入控制机制-开发者社区

3.2 Kubernetes API Server深度剖析：RESTful API、认证授权、准入控制机制

引言

API Server是Kubernetes的核心组件，所有组件都通过API Server进行通信。深入理解API Server的RESTful API、认证授权和准入控制机制，是掌握Kubernetes的关键。本文将详细解析API Server的工作原理。

一、API Server概述

1.1 API Server的作用

Kubernetes的统一入口
RESTful API服务
数据验证和转换
认证授权
准入控制

1.2 API Server架构

Client Request │ ▼ ┌──────────────┐ │ Authentication│ 认证 └──────┬───────┘ │ ▼ ┌──────────────┐ │ Authorization │ 授权 └──────┬───────┘ │ ▼ ┌──────────────┐ │ Admission │ 准入控制 │ Control │ └──────┬───────┘ │ ▼ ┌──────────────┐ │ Validation │ 验证 └──────┬───────┘ │ ▼ ┌──────────────┐ │ etcd │ 存储 └──────────────┘

二、RESTful API

2.1 API版本

# 核心API组/api/v1# 命名API组/apis/apps/v1 /apis/extensions/v1beta1

2.2 资源操作

# 创建资源POST /api/v1/namespaces/{namespace}/pods# 获取资源GET /api/v1/namespaces/{namespace}/pods/{name}# 更新资源PUT /api/v1/namespaces/{namespace}/pods/{name}# 删除资源DELETE /api/v1/namespaces/{namespace}/pods/{name}# 列表资源GET /api/v1/namespaces/{namespace}/pods

2.3 使用kubectl

# kubectl是API Server的客户端kubectl get pods# 等价于curl-X GET https://api-server:6443/api/v1/namespaces/default/pods# 创建资源kubectl create -f pod.yaml# 等价于curl-X POST https://api-server:6443/api/v1/namespaces/default/pods\-H"Content-Type: application/yaml"\-d @pod.yaml

三、认证（Authentication）

3.1 认证方式

1. 证书认证

# 客户端证书--client-ca-file=/etc/kubernetes/pki/ca.crt# 使用证书curl--cert client.crt --key client.key\https://api-server:6443/api/v1/pods

2. Token认证

# Bearer Tokencurl-H"Authorization: Bearer <token>"\https://api-server:6443/api/v1/pods

3. ServiceAccount认证

apiVersion:v1kind:ServiceAccountmetadata:name:my-sa---apiVersion:v1kind:Podspec:serviceAccountName:my-sacontainers:-name:appimage:myapp:latest

3.2 认证链

API Server按顺序尝试以下认证方式：

X509客户端证书
Bearer Token
ServiceAccount Token
匿名请求

四、授权（Authorization）

4.1 RBAC授权

Role定义：

apiVersion:rbac.authorization.k8s.io/v1kind:Rolemetadata:name:pod-readerrules:-apiGroups:[""]resources:["pods"]verbs:["get","watch","list"]

RoleBinding：

apiVersion:rbac.authorization.k8s.io/v1kind:RoleBindingmetadata:name:read-podssubjects:-kind:Username:aliceapiGroup:rbac.authorization.k8s.ioroleRef:kind:Rolename:pod-readerapiGroup:rbac.authorization.k8s.io

4.2 ClusterRole和ClusterRoleBinding

apiVersion:rbac.authorization.k8s.io/v1kind:ClusterRolemetadata:name:cluster-adminrules:-apiGroups:["*"]resources:["*"]verbs:["*"]

4.3 授权检查流程

快递派送地址合并实战：用MGeo高效处理

快递派送地址合并实战：用MGeo高效处理引言：为什么快递公司天天在“找同一个地方”？ 你有没有注意过，同一栋写字楼，在不同快递单上可能写着： “北京市朝阳区望京SOHO塔3A座1208室”“北京朝阳望京SOHO-A…

李华

客服话术演练神器！VibeVoice实现多角色语音模拟

客服话术演练神器！VibeVoice实现多角色语音模拟你有没有遇到过这样的场景：新入职的客服人员反复背诵标准话术，却在真实通话中紧张卡壳；团队花一周时间打磨出完美应答脚本，结果录音试听时发现语气生硬、节奏断裂&…

李华

GTE-Chinese-Large模型部署：HuggingFace Transformers vs ModelScope加载对比

GTE-Chinese-Large模型部署：HuggingFace Transformers vs ModelScope加载对比你有没有试过——明明模型文件都下全了，pipeline() 一调就报错；或者 AutoModel.from_pretrained() 能跑通，但相似度分数和别人差了一大截&#xff1f…

李华

Qwen3-Embedding-4B效果展示：法律条款语义相似度排序与判例匹配案例

Qwen3-Embedding-4B效果展示：法律条款语义相似度排序与判例匹配案例 1. 为什么法律场景特别需要语义搜索？ 你有没有遇到过这样的情况：在翻查几十万字的《民法典》司法解释时，明明记得某条规则讲的是“合同一方失联后如何处理”&…

李华

GLM-Image WebUI国产替代：对比SDXL/DALL·E 3在中文语义理解上的优势

GLM-Image WebUI国产替代：对比SDXL/DALLE 3在中文语义理解上的优势 1. 为什么需要一个真正懂中文的图像生成工具？ 你有没有试过用英文模型写“青砖黛瓦马头墙，徽州古村烟雨中”，结果生成一张泛着蓝光的欧式城堡？或者…

李华

SenseVoice Small企业级应用：智能客服语音分析全攻略

SenseVoice Small企业级应用：智能客服语音分析全攻略 1. 引言你是否遇到过这样的场景：客服中心每天产生数百小时通话录音，人工听审耗时费力，关键情绪信号漏判频发，投诉预警总是滞后？传统语音转文字工具只…

李华