Kubernetes API Server解析
Kubernetes API Server解析
概述
Kubernetes API Server的核心功能是提供Kubernetes各类资源对象(如Pod、 RC、 Service等) 的增、 删、 改、 查及Watch等HTTP Rest接口, 成为集群内各个功能模块之间数据交互和通信的中心枢纽,是整个系统的数据总线和数据中心。 除此之外它还是:集群管理的API入口 、资源配额控制的入口 、为集群提供了完备的集群安全机制 。
架构
API Server的架构从上到下可以分为以下四层 :
API层: 主要以REST方式提供各种API接口, 除了有Kubernetes资源对象的CRUD和Watch等主要API, 还有健康检查、 UI、日志、 性能指标等运维监控相关的API。
访问控制层: 当客户端访问API接口时, 访问控制层负责对用户身份鉴权, 验明用户身份, 核准用户对Kubernetes资源对象的访问权限, 然后根据配置的各种资源访问许可逻辑(Admission Control) , 判断是否允许访问。
注册表层: Kubernetes把所有资源对象都保存在注册表(Registry) 中, 针对注册表中的各种资源对象都定义了: 资源对象的类型、 如何创建资源对象、 如何转换资源的不同版本, 以及如何将资源编码和解码为JSON或ProtoBuf格式进行存储。
etcd数据库: 用于持久化存储Kubernetes资源对象的KV数据库。 etcd的watch API接口对于API Server来说至关重要, 因为通过这个接口, API Server 创新性地设计了List-Watch这种高性能的资源对象实时同步机制, 使Kubernetes可以管理超大规模的集群, 及时响应和快速处理集群中的各种事件。
List-Watch机制
API Server负责了集群功能模块之间的通信,为了缓解集群各模块对API Server的访问压力, 各功能模块都采用
缓存机制来缓存数据。 各功能模块定时从API Server获取指定的资源对象信息(通过List-Watch方法), 然后将这些信息保存到本地缓存中,功能模块在某些情况下不直接访问API Server, 而是通过访问缓存数据来间接访问API Server。
资源对象的internal版本
API Server针对每种资源对象都引入了一个相对不变的internal版本, 每个版本只要支持转换为internal版本, 就能够与其他版本进行间接转换。
Kubernetes Proxy API接口
Kubernetes Proxy API接口, 这类接口的作用是代理REST请求, 即Kubernetes API Server把收到的REST请求转发到某个Node上的kubelet守护进程的REST端口, 由该kubelet进程负责响应。可以提供节点上Pod与Service的相关信息 。
需要说明的是: 这里获取的Pod的信息数据来自Node而非etcd数据库, 所以两者可能在某些时间点有所偏差。