Câu hỏi của tôi là nếu một khách hàng giả sử kubectl phải truy cập vào một cụm cho các thao tác lấy/xóa/chỉnh sửa khác nhau
2) Và nếu kubelet cần giao tiếp với điểm cuối API
Đúng vậy, hai tương tác đó đang giải quyết cùng một vấn đề: làm thế nào để một quá trình bên ngoài đến cụm kubernetes đến mặt phẳng điều khiển.Người ta có thể tưởng tượng rằng nó sẽ bị hạn chế (ví dụ) chỉ VPN công ty cho kubectl
hoạt động, hoặc chỉ các mạng con công nhân cho kubelet
.
kubelet
thực sự không cần để sử dụng NLB (có nghĩa là lưu lượng đi ra khỏi VPC thông qua bất kỳ Nat GW/Internet GW nào đến NLB và quay trở lại VPC), việc trỏ cấu hình của kubelet về phía "nội bộ" của NLB đó là hoàn toàn an toàn và hiệu quả, vì vậy miễn là chứng chỉ mặt phẳng điều khiển có đủ các mục nhập Tên thay thế chủ đề để đáp ứng quá trình bắt tay TLS. Đó thường là lý do tại sao mọi người không phân biệt hai trường hợp đó, nhưng nếu đó là mối quan tâm về bảo mật (hoặc chi phí!) cho tổ chức của bạn, thì 100% có thể tách hai tương tác đó ra.
API nào sử dụng dịch vụ này?
CNI Dịch vụ
điểm tại cùng một mặt phẳng điều khiển nhưng lưu lượng truy cập đó di chuyển trong cụm và điều đó kubernetes.default.svc.cluster.local
Dịch vụ
có sẵn cho tất cả không gian tên
s mọi lúc và là cách mọi ứng dụng khách kubernetes trong Pod sử dụng ứng dụng tích hợp Dịch vụTài khoản
mã thông báo để tiếp cận API kubernetes. Theo cách đó, mọi thứ chạy bên trong cụm không cần phải có bất kỳ cấu hình nào để tiếp cận API -- bao gồm cả truy cập Internet -- bởi vì lưu lượng truy cập trong cụm đó không rời khỏi mạng CNI