要资料 文章 文库 Lib 视频 Code iProcess 课程 认证 咨询 工具 火云堂 讲座吧   成长之路  
会员   
 
追随技术信仰

随时听讲座
每天看新闻
 
 

Kubernetes教程
Kubernetes概述
Kubernetes设计架构
kubernetes设计理念
创建Kubernetes集群
基于Docker本地运行Kubernetes
使用Vagrant
本地运行Kubrenetes v1.0
Google Computer Engine入门
AWS EC2快速入门
在Azure上使用CoreOS和Weave的 Kubernetes
从零开始k8s
CoreOS部署Kubernetes集群
CloudStack部署Kubernetes集群
vSphere部署Kubernetes集群
Ferdora部署Kubernetes集群
CentOS部署Kubernetes集群
Ubuntu物理节点上部署Kubernets集群
Mesos部署Kubernetes集群
Kubernetes用户指南:应用程序管理
名词解释 Pods
名词解释 Labels
名词解释:Namespace
名词解释 Replication Controller
名词解释:Node
名词解释:ReplicaSets
名词解释 Services
名词解释 Volumes
名词解释:PV/PVC/StorageClass
名称解释:Deployment
名词解释:Secret
名词解释:StatefulSet
名词解释:DaemonSet
名词解释:Service Account
名词解释:CronJob
名词解释:Job
名词解释:Security Context和PSP
名词解释:Resource Quotas
名词解释:Network Policy
名词解释:Ingress
名词解释:ThirdPartyResources
名词解释:ConfigMap
名词解释:PodPreset
配置Kubernetes
管理应用:部署持续运行的应用
Horizontal Pod Autoscaling
管理应用:连接应用
管理应用: 在生产环境中使用Pods和容器
Kubernetes UI
Kube-API Server
授权插件
认证插件
API Server端口配置
Admission Controller
Service Accounts集群管理指南
使用Kubernetes在云上原生部署cassandra
Spark例子
Storm 示例
示例: 分布式任务队列 Celery, RabbitMQ和Flower
Kubernetes在Hazelcast平台上部署原生云应用
Meteor on Kuberenetes
配置文件使用入门
环境向导示例
在Kubernetes上运行你的第一个容器
kubectl
安装和设置kubectl
kubectl annotate
kubectl api-versions
kubectl apply
kubectl attach
kubectl cluster-info
kubectl config
 
 

API Server端口配置
 
34 次浏览
7次  
 捐助

本文档介绍Kubernetes apiserver服务的端口以及如何访问这些端口。

服务的Ports和IPs

Kubernets API Server进程提供Kuvernetes API。通常情况下,有一个进程运行在单一kubernetes-master节点上。

默认情况,Kubernetes API Server提供HTTP的两个端口:

1.本地主机端口

HTTP服务

默认端口8080,修改标识–insecure-port

默认IP是本地主机,修改标识—insecure-bind-address

在HTTP中没有认证和授权检查

主机访问受保护

2.Secure Port

默认端口6443,修改标识—secure-port

默认IP是首个非本地主机的网络接口,修改标识—bind-address

HTTPS服务。设置证书和秘钥的标识,–tls-cert-file,–tls-private-key-file

认证方式,令牌文件或者客户端证书

使用基于策略的授权方式

3.移除:只读端口

基于安全考虑,会移除只读端口,使用Service Account代替。

代理和防火墙规则

此外,在某些配置文件中有一个代理(nginx)作为API Server进程运行在同一台机器上。该代理是HTTPS服务,认证端口是443,访问API Server是本地主机8080端口。在这些配置文件里,Secure Port通常设置为6443。

防火墙规则,通常配置运行外部HTTPS通过443端口访问。

上面的都是默认配置,反应了Kubernetes使用kube-up.sh如何部署到Google ComputeEngine。其它的云提供商可能会有所不同。

用例和IP:Ports

有关服务端口,有三种不同的配置,有各自的应用场景。

1. Kubernetes集群之外的客户端,例如在台式机上运行kubectl命令的人员。目前,通过运行在kubernetes-master机器上面的代理(nginx)访问本地主机端口。该代理可以使用证书认证或者Token认证方式。

2. 运行在Kuvernetes的Container里面的进程需要从API Server中读取。目前,这些进程都是用Service Account

3. 调度器和Controller管理进程,需要对API做读写操作。目前,这些都必须运行在APIServer同样的主机上面,使用本地主机。未来,这些进程将会使用Service Account服务,避免共存的必要。

4. Kubelets,需要对API做读写操作,并且同API Server相比,它必须运行在不同的机器上面。Kubelet使用Secure Port获取Pod,发现Pod可以看到的服务,并且记录这些事件。在集群启动事件内,分布设置Kubelet凭证。Kubelet和Kube-proxy可以使用证书认证和Token认证方式。

预期变化

Policy会限制Kubelet通过身份认证端口实行的一些操作。

调度器和Controller管理也会使用Secure Port。他们可以运行在不同的机器上。


您可以捐助,支持我们的公益事业。

1元 10元 50元





认证码: 验证码,看不清楚?请点击刷新验证码 必填



34 次浏览
7次
 捐助
 

每天2个文档/视频
扫描微信二维码订阅
订阅技术月刊
获得每月300个技术资源
 
 

关于我们 | 联系我们 | 京ICP备10020922号 京公海网安备110108001071号