小饭技术站小饭技术站
文章 分类 标签
小饭技术站小饭技术站

调试 Kubernetes API Server:`kubectl` 与 `curl` 实战指南

小饭   
         

在日常管理和开发中,kubectl 是我们与 Kubernetes 集群交互的首选工具。但有时,为了进行更底层的调试、自动化脚本编写,或是深入理解 Kubernetes 的工作机制,我们可能需要绕过 kubectl,直接与 Kubernetes API Server 进行通信。

本文将介绍两种核心方法,教你如何使用 curl 这一强大的 HTTP 工具来直接调用 Kubernetes API,助你成为更专业的 K8s 玩家。

Tip

直接与 API Server 交互能让你清晰地看到原始的 JSON 响应,这对于理解资源对象的结构和进行精细化控制非常有帮助。

这是最简单、最快捷的方法。kubectl proxy 命令会在本地启动一个代理服务器,它负责处理与 API Server 之间的认证和安全通信。你只需要向这个本地代理发送普通的 HTTP 请求即可,无需关心复杂的证书和 Token 问题。

在你的管理节点终端中执行以下命令,代理会在后台启动并监听 8001 端口:

kubectl proxy --port=8001 &
Note

& 符号会让命令在后台运行。你可以随时使用 fg 命令将其调回前台,或通过 kill 命令终止对应的进程。

代理启动后,你就可以像访问本地服务一样,使用 curl 来探索 API 了。

示例 1: 列出所有节点

list_node() 函数对应的 API 端点是 /api/v1/nodes

curl http://localhost:8001/api/v1/nodes | jq .

jq 是一个强大的 JSON 处理工具,可以格式化输出,使其更易读。建议安装。

示例 2: 列出 default 命名空间下的所有 Pod

curl http://localhost:8001/api/v1/namespaces/default/pods | jq .

这种方法更原生,它让你完全掌控通信的每一个环节,但也更复杂。你需要手动处理认证所需的所有凭据:API Server 地址、认证 Token 和 CA 证书。

我们可以通过一系列 kubectl 命令从当前的 kubeconfig 配置中提取这些信息。

# 1. 获取 API Server 的完整地址
APISERVER=$(kubectl config view --minify -o jsonpath='{.clusters[0].cluster.server}')

# 2. 获取默认服务账户 (default service account) 关联的 Secret 名称
# 注意: Kubernetes 1.24+ 不再自动为 ServiceAccount 创建 Secret。
# 你可能需要手动创建一个包含 Token 的 Secret,或使用 TokenRequest API。
# 这里我们假设存在一个可用的 Secret。
SECRET_NAME=$(kubectl get serviceaccount default -o jsonpath='{.secrets[0].name}')

# 3. 从 Secret 中提取 Bearer Token
TOKEN=$(kubectl get secret ${SECRET_NAME} -o jsonpath='{.data.token}' | base64 --decode)

# 4. 从 Secret 中提取 CA 证书,并保存为临时文件
kubectl get secret ${SECRET_NAME} -o jsonpath='{.data.ca\.crt}' | base64 --decode > ca.crt
Warning

关于 Service Account Token 从 Kubernetes 1.24 版本开始,出于安全考虑,系统不再为 ServiceAccount 自动创建包含永久 Token 的 Secret。推荐使用 kubectl create token <service-account-name> 命令来获取一个有时效性的 Token。

TOKEN=$(kubectl create token default)

这种方式更安全,但 Token 会过期。对于临时调试,这是最佳实践。

准备好凭据后,就可以构造 curl 命令来安全地访问 API Server 了。

示例: 再次列出所有节点

curl -X GET $APISERVER/api/v1/nodes \
  --header "Authorization: Bearer $TOKEN" \
  --cacert ca.crt
  • --header "Authorization: Bearer $TOKEN": 提供了认证令牌。
  • --cacert ca.crt: 使用我们提取的 CA 证书来验证 API Server 的身份,确保通信安全。
  • kubectl proxy: 是进行快速、临时调试和 API 探索的理想选择。它简单、方便,为你处理了所有认证细节。
  • 直接调用: 更适合需要长期运行的自动化脚本或在无法使用 kubectl proxy 的受限环境中。它让你对认证过程有完全的控制权,但也要求你对 Kubernetes 的认证机制有更深入的了解。

掌握这两种方法,你将能更自如地与 Kubernetes API Server 交互,无论是排查故障还是进行自动化开发,都会变得得心应手。

 Kubernetes
 | 主页