1、kube-apiserver是k8s最核心的組件之一，主要提供以下功能：

1.1? 提供集群管理的 REST API 接口，包括認(rèn)證授權(quán)準(zhǔn)入、數(shù)據(jù)校驗(yàn)以及集群狀態(tài)變更等

1.2? 提供其他模塊之間的數(shù)據(jù)交互和通信的樞紐（其他模塊通過(guò) API Server 查詢或修改數(shù)據(jù)，只有 API Server 才直接操作 etcd）

2、kube-apiserver api接口

kube-apiserver同時(shí)提供8080（http，監(jiān)聽127.0.0.1：8080）和6443（https）端口，其中http屬于非安全端口，不做任何認(rèn)證授權(quán)機(jī)制，不安全，不建議在生產(chǎn)環(huán)境中使用。http和https提供的api接口的格式一致。

可以通過(guò)kubectl 命令訪問(wèn)apiserver，比如可以通過(guò)kubectl api-versions和?kubectl api-resources?查詢 Kubernetes API 支持的 API 版本以及資源對(duì)象。

$ kubectl api-versions

apiextensions.k8s.io/v1beta1

apiregistration.k8s.io/v1

apiregistration.k8s.io/v1beta1

apps/v1

apps/v1beta1

apps/v1beta2

authentication.k8s.io/v1

authentication.k8s.io/v1beta1

authorization.k8s.io/v1

authorization.k8s.io/v1beta1

autoscaling/v1

autoscaling/v2beta1

batch/v1

batch/v1beta1

certificates.k8s.io/v1beta1

events.k8s.io/v1beta1

extensions/v1beta1

metrics.k8s.io/v1beta1

networking.k8s.io/v1

policy/v1beta1

rbac.authorization.k8s.io/v1

rbac.authorization.k8s.io/v1beta1

scheduling.k8s.io/v1beta1

storage.k8s.io/v1

storage.k8s.io/v1beta1

v1

$ kubectl api-resources --api-group=storage.k8s.io

NAME? ? ? ? ? ? ? ? SHORTNAMES? APIGROUP? ? ? ? NAMESPACED? KIND

storageclasses? ? ? sc? ? ? ? ? storage.k8s.io? false? ? ? ? StorageClass

volumeattachments? ? ? ? ? ? ? ? storage.k8s.io? false? ? ? ? VolumeAttachment

3. 訪問(wèn)控制

Kubernetes API 的每個(gè)請(qǐng)求都會(huì)經(jīng)過(guò)多階段的訪問(wèn)控制之后才會(huì)被接受，這包括認(rèn)證、授權(quán)以及準(zhǔn)入控制（Admission Control）等。開啟 TLS 時(shí)，所有的請(qǐng)求都需要首先認(rèn)證。Kubernetes 支持多種認(rèn)證機(jī)制，并支持同時(shí)開啟多個(gè)認(rèn)證插件（只要有一個(gè)認(rèn)證通過(guò)即可）。如果認(rèn)證成功，則用戶的?username?會(huì)傳入授權(quán)模塊做進(jìn)一步授權(quán)驗(yàn)證；而對(duì)于認(rèn)證失敗的請(qǐng)求則返回 HTTP 401。

4.?授權(quán)

認(rèn)證之后的請(qǐng)求就到了授權(quán)模塊。跟認(rèn)證類似，Kubernetes 也支持多種授權(quán)機(jī)制，并支持同時(shí)開啟多個(gè)授權(quán)插件（只要有一個(gè)驗(yàn)證通過(guò)即可）。如果授權(quán)成功，則用戶的請(qǐng)求會(huì)發(fā)送到準(zhǔn)入控制模塊做進(jìn)一步的請(qǐng)求驗(yàn)證；而對(duì)于授權(quán)失敗的請(qǐng)求則返回 HTTP 403。

5. 準(zhǔn)入控制

準(zhǔn)入控制（Admission Control）用來(lái)對(duì)請(qǐng)求做進(jìn)一步的驗(yàn)證或添加默認(rèn)參數(shù)。不同于授權(quán)和認(rèn)證只關(guān)心請(qǐng)求的用戶和操作，準(zhǔn)入控制還處理請(qǐng)求的內(nèi)容，并且僅對(duì)創(chuàng)建、更新、刪除或連接（如代理）等有效，而對(duì)讀操作無(wú)效。準(zhǔn)入控制也支持同時(shí)開啟多個(gè)插件，它們依次調(diào)用，只有全部插件都通過(guò)的請(qǐng)求才可以放過(guò)進(jìn)入系統(tǒng)。

6. kube-apiserver工作原理

kube-apiserver 提供了 Kubernetes 的 REST API，實(shí)現(xiàn)了認(rèn)證、授權(quán)、準(zhǔn)入控制等安全校驗(yàn)功能，同時(shí)也負(fù)責(zé)集群狀態(tài)的存儲(chǔ)操作（通過(guò) etcd）。

7. API 訪問(wèn)

7.1 通過(guò)kubectl命令方式

kubectl get --raw /api/v1/namespaces

kubectl get --raw /apis/metrics.k8s.io/v1beta1/nodes

kubectl get --raw /apis/metrics.k8s.io/v1beta1/pods

7.2 curl命令，分別在pod內(nèi)和pod外

$ TOKEN=$(cat /run/secrets/kubernetes.io/serviceaccount/token)

$ CACERT=/run/secrets/kubernetes.io/serviceaccount/ca.crt

$ curl? --cacert $CACERT --header "Authorization: Bearer $TOKEN"? https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_SERVICE_PORT/api

APISERVER=$(kubectl config view | grep server | cut-f2--d":"| tr-d" ")

TOKEN=$(kubectl describe secret $(kubectl get secrets | grep default | cut-f1-d' ') | grep -E'^token'| cut-f2-d':'| tr-d'\t')

curl $APISERVER/api? --header "Authorization: Bearer $TOKEN" --insecure

End