前言

  1. 参考书籍:

Kubernetes权威指南:从Docker到Kubernetes实践全接触(第2版)-2016.10-电工-P519-龚正,吴治辉,王伟 等.pdf

  1. 参考博客:

  2. 确定一些信息:

    1. 搭建kubernetes集群,确定版本资源信息

      如 Group: “apps”, Version: “v1”, Resource: “deployments”。

    2. 鉴权注意用户角色绑定的名称空间(namespace),如:default。

    3. 确定deplouments资源的名称。
    4. 用户名密码方式提前在xshell里设置

参考图:获取资源后就可以调方法了!
外部访问api-server的三种方式总结 - 图1

一、 kubeconfig

据说已有!
加载配置文件的代码如下:

  1. func main() {
  2.         var kubeconfig *string
  4.         // 默认会从~/.kube/config路径下获取配置文件
  5.         if home := homeDir(); home != "" {
  6.                 kubeconfig = flag.String("kubeconfig", filepath.Join(home, ".kube", "config"), "(optional)absolute path to the kubeconfig file")
  7.         } else {
  8.                 kubeconfig = flag.String("kubeconfig", "", "absolute path to the kubeconfig file")
  9.         }
  11.         flag.Parse()
  13.         // 使用k8s.io/client-go/tools/clientcmd加载配置文件并生成config的对象
  14.         if config, err := clientcmd.BuildConfigFromFlags("", *kubeconfig); err != nil {
  15.                 panic(err.Error())
  16.         }
  17. }

更:这个得自己研究看看!

二、 service account

集群要求:

  1. 有角色和角色绑定
  2. 用service account 方式绑定
  3. 部署方式:https://www.yuque.com/qiaokate/somwp3/gpl57f

测试步骤:

  1. 设置资源组合版本
  2. 获取config对象
  3. 获取动态客户端dynamicClient
  4. 获取deployment资源
  5. 将unstructured序列化成json
  6. 打印json

代码:

  1. package main
  3. import (
  4.     "context"
  5.     "fmt"
  7.     metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
  8.     "k8s.io/apimachinery/pkg/runtime/schema"
  9.     "k8s.io/client-go/dynamic"
  10.     "k8s.io/client-go/rest"
  11. )
  13. func getConfig() *rest.Config {
  14.     config := rest.Config{
  15.         Host: "https://10.4.104.169:6443",
  16.         TLSClientConfig: rest.TLSClientConfig{
  17.             Insecure: true,
  18.         },
  20.         BearerToken: "eyJhbGciOiJSUzI1NiIsImtpZCI6IlhGbHRva3gyMDB6RnJoYlBhRjJ0XzdvdVZZZjNBLU5ONHhEMFVGdmNiN0EifQ.eyJpc3MiOiJrdWJlcm5ldGVzL3NlcnZpY2VhY2NvdW50Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9uYW1lc3BhY2UiOiJkZWZhdWx0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZWNyZXQubmFtZSI6InNhLXNhLXRva2VuLXZ0YjJ0Iiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQubmFtZSI6InNhLXNhIiwia3ViZXJuZXRlcy5pby9zZXJ2aWNlYWNjb3VudC9zZXJ2aWNlLWFjY291bnQudWlkIjoiODljOGVlYWEtZGY5Mi00NjI2LWJkMzUtOTczZmRlODlhYWUyIiwic3ViIjoic3lzdGVtOnNlcnZpY2VhY2NvdW50OmRlZmF1bHQ6c2Etc2EifQ.DdhVDUO6azpa9bY-803SvFm-YAyz4pSOspFBLts91mnxaQEH9AY-yTJt1DR8QBMVz4XnIY0bckkq3SJoIq_ZgOdcBl31EM7srvPl67hkjYF1562i3YmOfDj3D7b3X7hrB3xKdpbK9youlqAtalfR9DnvP3c9H4n5asI2Nu37IoxBuEPLv7Ke_mizfb638sV4rNyhKzx7WWeyLIxmebk-_C7_F6rZlGLgG3245OwLwvYu_HSiZtcRMeK9-pM417PXLqAVOJ5g1VKgn30jXXs6U0ht0DMylziv2en1q_iQfT3YAPfVenqjtaBxmlnZlGuiA9rXGFuCuBxiCWe7viP6Qw",
  21.     }
  22.     return &config
  23. }
  25. func main() {
  26.     // 设置资源组合版本
  27.     gvr := schema.GroupVersionResource{Group: "apps", Version: "v1", Resource: "deployments"}
  28.     // 获取config对象
  29.     config := getConfig()
  30.     // 获取动态客户端
  31.     dynamicClient, _ := dynamic.NewForConfig(config)
  32.     //获取deployment资源
  33.     resStruct, _ := dynamicClient.Resource(gvr).Namespace("default").Get(context.TODO(), "mysql", metav1.GetOptions{})
  34.     // 将unstructured序列化成json
  35.     j, _ := resStruct.MarshalJSON()
  36.     // 打印json
  37.     fmt.Println(string(j))
  38. }

更:我的集群若是转json序列会报如下错误!,应该是在集群的apiserver文件中更改配置会这样。
image.png
重新装了一下go环境(实际不需要),又改了配置,就不报错了!
以下是正常结果!
image.png

三、 username/password

要求条件:
master节点新增一个文件,如果是会有多个master,那么每个master同下操作。
里面内容结构是:用户名,密码(用户名和密码要保持一致),唯一ID。

部署方式:https://www.yuque.com/qiaokate/somwp3/grxqyw

  1. package main
  3. import (
  4.     "context"
  5.     "fmt"
  7.     // v1 "k8s.io/api/apps/v1"
  8.     metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
  9.     "k8s.io/apimachinery/pkg/runtime/schema"
  10.     "k8s.io/client-go/dynamic"
  11.     // "k8s.io/client-go/kubernetes/scheme"
  12.     "k8s.io/client-go/rest"   
  13. )
  15. func getConfig() *rest.Config {
  16.     config := rest.Config{
  17.         Host: "https://10.4.104.169:6443",
  18.         // ContentConfig: rest.ContentConfig{
  19.         //     GroupVersion:         &v1.SchemeGroupVersion,
  20.         //     NegotiatedSerializer: scheme.Codecs.WithoutConversion(),
  21.         // },
  22.         TLSClientConfig: rest.TLSClientConfig{
  23.             Insecure: true,
  24.         },
  26.         Username: "admin",
  27.         Password: "admin",
  29.     }
  30.     return &config
  31. }
  33. func main() {
  34.     // 设置资源组合版本
  35.     gvr := schema.GroupVersionResource{Group: "apps", Version: "v1", Resource: "deployments"}
  36.     // 获取config对象
  37.     config := getConfig()    
  38.     // 获取动态客户端
  39.     dynamicClient, _ := dynamic.NewForConfig(config)    
  40.     // 获取deployment资源
  41.     resStruct, _ := dynamicClient.Resource(gvr).Namespace("default").Get(context.TODO(), "mysql", metav1.GetOptions{})    
  42.     // 将unstructured序列化成json
  43.     j, _ := resStruct.MarshalJSON()
  44.     // 打印json
  45.     fmt.Println(string(j))
  46. }

测试结果:
外部访问api-server的三种方式总结 - 图4

四、 对比

对比获取的json文件:
image.png
二者是相同的,说明获取资源相同!
这三种访问方式主要区别是认证方法的不同:

kubeconfig https CA认证
service account http token token
username/password http base Username
Password

鉴权使用的都是RBAC(角色及角色绑定)
最安全的应该是https双向认证√