访问集群上运行的 Service
本页面介绍如何连接到在 Kubernetes 集群上运行的 Service。
准备工作
你需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具已经被配置为与集群通信。建议在至少包含两个非控制平面主机的节点集群上运行本教程。如果你还没有集群,可以使用 minikube 创建一个,或者使用以下 Kubernetes 实验环境之一:
要检查版本,请输入 kubectl version。
访问在集群上运行的 Service
在 Kubernetes 中,节点、Pod 和 Service 都有自己的 IP。在许多情况下,集群上的节点 IP、Pod IP 和一些 Service IP 是不可路由的,因此无法从集群外部的机器(例如你的台式机)访问它们。
连接方式
你可以从集群外部连接到节点、Pod 和 Service,有以下几种方式:
- 通过公共 IP 访问 Service。
- 使用类型为
NodePort或LoadBalancer的 Service 使 Service 可以在集群外部访问。请参阅 Service 和 kubectl expose 文档。 - 根据你的集群环境,这可能只会将 Service 暴露给公司网络,或者将其暴露给互联网。请考虑要暴露的 Service 是否安全。它是否执行自身的身份认证?
- 将 Pod 放在 Service 后面。要从一组副本中访问某个特定的 Pod(例如用于调试),请在该 Pod 上放置一个唯一的标签,并创建一个新的 Service 来选择此标签。
- 在大多数情况下,应用程序开发人员无需直接通过节点的 IP 来访问节点。
- 使用类型为
- 使用 Proxy Verb 访问 Service、节点或 Pod。
- 在访问远程 Service 之前执行 apiserver 身份认证和授权。如果 Service 不够安全而不能暴露给互联网,或者要访问节点 IP 上的端口,或者用于调试,请使用此方法。
- 代理可能会导致一些 Web 应用程序出现问题。
- 仅适用于 HTTP/HTTPS。
- 此处对此进行了描述。
- 从集群中的节点或 Pod 访问。
- 运行一个 Pod,然后使用 kubectl exec 连接到 Pod 中的 shell。从该 shell 连接到其他节点、Pod 和 Service。
- 某些集群可能允许你通过 SSH 连接到集群中的节点。从那里你也许可以访问集群 Service。这是一种非标准方法,在某些集群上可行,但在其他集群上可能不行。浏览器和其他工具可能已安装,也可能未安装。集群 DNS 可能无法正常工作。
发现内置 Service
通常,kube-system 会在集群上启动多个 Service。使用 kubectl cluster-info 命令获取这些 Service 的列表:
kubectl cluster-info
输出类似于此:
Kubernetes master is running at https://192.0.2.1
elasticsearch-logging is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy
kibana-logging is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/kibana-logging/proxy
kube-dns is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/kube-dns/proxy
grafana is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/monitoring-grafana/proxy
heapster is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/monitoring-heapster/proxy
这显示了访问每个 Service 的 proxy-verb URL。例如,此集群启用了集群级别的日志(使用 Elasticsearch),如果传递合适的凭据,可以通过 https://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/ 访问它,或者通过 kubectl proxy,例如:http://localhost:8080/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/。
注意
有关如何传递凭据或使用 kubectl proxy 的信息,请参阅使用 Kubernetes API 访问集群。手动构造 apiserver 代理 URL
如上所述,你可以使用 kubectl cluster-info 命令检索 Service 的代理 URL。要创建包含 Service 端点、后缀和参数的代理 URL,请在 Service 的代理 URL 后追加:http://kubernetes_master_address/api/v1/namespaces/namespace_name/services/[https:]service_name[:port_name]/proxy
如果你没有为端口指定名称,则无需在 URL 中指定 port_name。对于命名端口和未命名端口,你也可以使用端口号代替 port_name。
默认情况下,API Server 使用 HTTP 代理到你的 Service。要使用 HTTPS,请在 Service 名称前加上 https::http://<kubernetes_master_address>/api/v1/namespaces/<namespace_name>/services/<service_name>/proxy
URL 中 <service_name> 段支持的格式有:
<service_name>- 使用 http 代理到默认端口或未命名端口<service_name>:<port_name>- 使用 http 代理到指定的端口名或端口号https:<service_name>:- 使用 https 代理到默认端口或未命名端口(注意末尾的冒号)https:<service_name>:<port_name>- 使用 https 代理到指定的端口名或端口号
示例
要访问 Elasticsearch Service 端点
_search?q=user:kimchy,可以使用:http://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/_search?q=user:kimchy要访问 Elasticsearch 集群健康信息
_cluster/health?pretty=true,可以使用:https://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/_cluster/health?pretty=true健康信息类似于此:
{ "cluster_name" : "kubernetes_logging", "status" : "yellow", "timed_out" : false, "number_of_nodes" : 1, "number_of_data_nodes" : 1, "active_primary_shards" : 5, "active_shards" : 5, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 5 }要访问 https Elasticsearch Service 健康信息
_cluster/health?pretty=true,可以使用:https://192.0.2.1/api/v1/namespaces/kube-system/services/https:elasticsearch-logging:/proxy/_cluster/health?pretty=true
使用 Web 浏览器访问集群上运行的 Service
你可能可以将 apiserver 代理 URL 放入浏览器的地址栏中。但是:
- Web 浏览器通常无法传递令牌,因此你可能需要使用基本(密码)身份认证。Apiserver 可以配置为接受基本身份认证,但你的集群可能未配置为接受基本身份认证。
- 某些 Web 应用程序可能无法正常工作,特别是那些带有客户端 JavaScript、以未察觉到代理路径前缀的方式构造 URL 的应用程序。