Thông tin bắt buộc liên quan đến dịch vụ kubernetes

Câu hỏi của tôi là nếu một khách hàng giả sử kubectl phải truy cập một cụm cho các thao tác nhận/xóa/chỉnh sửa khác nhau, thì nó sẽ sử dụng .kube/config tệp và ở đó chúng tôi chỉ định điểm cuối API làm mục nhập DNS. Hiển thị bên dưới là Mục nhập DNS của chúng tôi cho NLB.

$ cấu hình con mèo |grep 6443
máy chủ: https://ac1poc-20210407164708-kube-api-f5082ea18c7584ad.elb.us-east-1.amazonaws.com:6443

2. Và nếu kubelet cần nói chuyện với điểm cuối API, thì nó có mục nhập tương tự trong tệp cấu hình của nó /etc/kubernetes/kubelet
3. Tương tự cho kube-proxy. Vì vậy, cả ba API bên ngoài này đều có mục nhập Cân bằng tải mạng được định cấu hình trong các tệp cấu hình tương ứng của chúng. Điều đó có nghĩa là tất cả những thứ này gửi Gói tới NLB bất cứ khi nào chúng muốn giao tiếp với phụ trợ API.

Nhưng sau đó tôi cũng có dịch vụ này như hình dưới đây. Tôi muốn hỏi khi nào dịch vụ này bắt đầu hoạt động. API nào sử dụng dịch vụ này?

$ kubectl mô tả svc kubernetes
Tên: kubernetes
Không gian tên: mặc định
Nhãn: thành phần=apiserver
                   nhà cung cấp=kubernetes
Chú thích: <không có>
Bộ chọn: <không có>
Loại: Cụm IP
Chính sách gia đình IP: SingleStack
Họ IP: IPv4
IP: 10.96.0.1
IP: 10.96.0.1
Cổng: https 443/TCP
Cổng mục tiêu: 6443/TCP
Điểm cuối: 172.36.11.131:6443,172.36.12.131:6443,172.36.13.131:6443
Sở thích phiên: Không có
Sự kiện: <không có>

Câu hỏi của tôi là nếu một khách hàng giả sử kubectl phải truy cập vào một cụm cho các thao tác lấy/xóa/chỉnh sửa khác nhau

2) Và nếu kubelet cần giao tiếp với điểm cuối API

Đúng vậy, hai tương tác đó đang giải quyết cùng một vấn đề: làm thế nào để một quá trình bên ngoài đến cụm kubernetes đến mặt phẳng điều khiển.Người ta có thể tưởng tượng rằng nó sẽ bị hạn chế (ví dụ) chỉ VPN công ty cho kubectl hoạt động, hoặc chỉ các mạng con công nhân cho kubelet.

kubelet thực sự không cần để sử dụng NLB (có nghĩa là lưu lượng đi ra khỏi VPC thông qua bất kỳ Nat GW/Internet GW nào đến NLB và quay trở lại VPC), việc trỏ cấu hình của kubelet về phía "nội bộ" của NLB đó là hoàn toàn an toàn và hiệu quả, vì vậy miễn là chứng chỉ mặt phẳng điều khiển có đủ các mục nhập Tên thay thế chủ đề để đáp ứng quá trình bắt tay TLS. Đó thường là lý do tại sao mọi người không phân biệt hai trường hợp đó, nhưng nếu đó là mối quan tâm về bảo mật (hoặc chi phí!) cho tổ chức của bạn, thì 100% có thể tách hai tương tác đó ra.

API nào sử dụng dịch vụ này?

CNI Dịch vụ điểm tại cùng một mặt phẳng điều khiển nhưng lưu lượng truy cập đó di chuyển trong cụm và điều đó kubernetes.default.svc.cluster.local Dịch vụ có sẵn cho tất cả không gian têns mọi lúc và là cách mọi ứng dụng khách kubernetes trong Pod sử dụng ứng dụng tích hợp Dịch vụTài khoản mã thông báo để tiếp cận API kubernetes. Theo cách đó, mọi thứ chạy bên trong cụm không cần phải có bất kỳ cấu hình nào để tiếp cận API -- bao gồm cả truy cập Internet -- bởi vì lưu lượng truy cập trong cụm đó không rời khỏi mạng CNI