访问集群上运行的服务
本页面介绍如何连接到 Kubernetes 集群上运行的服务。
准备工作
你需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具已配置为与你的集群通信。 建议在至少有两个不作为控制平面主机的节点组成的集群上运行本教程。 如果你还没有集群,你可以使用 minikube 创建一个,或者你可以使用这些 Kubernetes 操场:
要检查版本,请输入 kubectl version。
访问集群上运行的服务
在 Kubernetes 中,节点、Pod 和服务都有自己的 IP。在许多情况下,集群上的节点 IP、Pod IP 和某些服务 IP 不可路由,因此无法从集群外部的机器(例如你的桌面机器)访问它们。
连接方式
你有多种选择,可以从集群外部连接到节点、Pod 和服务。
- 通过公共 IP 访问服务。
- 使用类型为
NodePort或LoadBalancer的服务,使服务可在集群外部访问。 请参阅 服务和 kubectl expose 文档。 - 根据你的集群环境,这可能只会将服务暴露给你的公司网络,或者将其暴露给互联网。 请考虑暴露的服务是否安全。它是否进行自己的身份验证?
- 将 Pod 放置在服务后面。要从一组副本中访问一个特定的 Pod(例如用于调试),请在该 Pod 上放置一个唯一的标签,然后创建一个选择此标签的新服务。
- 在大多数情况下,应用程序开发人员不需要通过其 nodeIP 直接访问节点。
- 使用类型为
- 使用代理动词访问服务、节点或 Pod。
- 在访问远程服务之前进行 apiserver 身份验证和授权。如果服务不够安全,无法暴露给互联网,或者为了访问节点 IP 上的端口,或者为了调试,请使用此方法。
- 代理可能会导致某些 Web 应用程序出现问题。
- 仅适用于 HTTP/HTTPS。
- 此处有说明。
- 从集群中的节点或 Pod 访问。
- 运行一个 Pod,然后使用 kubectl exec 连接到它的 shell。从该 shell 连接到其他节点、Pod 和服务。
- 一些集群可能允许你通过 SSH 连接到集群中的节点。从那里你可能可以访问集群服务。这不是一个标准方法,在某些集群上可以工作,但在其他集群上可能不行。浏览器和其他工具可能已安装,也可能未安装。集群 DNS 可能无法工作。
发现内置服务
通常,kube-system 会在集群上启动多个服务。使用 kubectl cluster-info 命令获取这些服务的列表:
kubectl cluster-info
输出类似于:
Kubernetes master is running at https://192.0.2.1
elasticsearch-logging is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy
kibana-logging is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/kibana-logging/proxy
kube-dns is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/kube-dns/proxy
grafana is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/monitoring-grafana/proxy
heapster is running at https://192.0.2.1/api/v1/namespaces/kube-system/services/monitoring-heapster/proxy
这显示了访问每个服务的代理动词 URL。例如,这个集群启用了集群级日志记录(使用 Elasticsearch),可以通过 https://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/ 访问(如果传递了合适的凭据),或者通过 kubectl 代理访问,例如:https://:8080/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/。
注意
有关如何传递凭据或使用 kubectl 代理的信息,请参阅使用 Kubernetes API 访问集群。手动构建 API 服务器代理 URL
如上所述,你可以使用 kubectl cluster-info 命令来检索服务的代理 URL。要创建包含服务端点、后缀和参数的代理 URL,你需要将它们附加到服务的代理 URL: http://kubernetes_master_address/api/v1/namespaces/namespace_name/services/[https:]service_name[:port_name]/proxy
如果你没有为端口指定名称,则无需在 URL 中指定 port_name。你还可以使用端口号代替 port_name,这适用于已命名和未命名的端口。
默认情况下,API 服务器使用 HTTP 代理你的服务。要使用 HTTPS,请在服务名称前加上 https:: http://<kubernetes_master_address>/api/v1/namespaces/<namespace_name>/services/<service_name>/proxy
URL 的 <service_name> 部分支持以下格式:
<service_name>- 使用 http 代理到默认或未命名端口<service_name>:<port_name>- 使用 http 代理到指定的端口名称或端口号https:<service_name>:- 使用 https 代理到默认或未命名端口(注意末尾的冒号)https:<service_name>:<port_name>- 使用 https 代理到指定的端口名称或端口号
示例
要访问 Elasticsearch 服务端点
_search?q=user:kimchy,你可以使用http://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/_search?q=user:kimchy要访问 Elasticsearch 集群健康信息
_cluster/health?pretty=true,你可以使用https://192.0.2.1/api/v1/namespaces/kube-system/services/elasticsearch-logging/proxy/_cluster/health?pretty=true健康信息类似于此
{ "cluster_name" : "kubernetes_logging", "status" : "yellow", "timed_out" : false, "number_of_nodes" : 1, "number_of_data_nodes" : 1, "active_primary_shards" : 5, "active_shards" : 5, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 5 }要访问 https Elasticsearch 服务健康信息
_cluster/health?pretty=true,你可以使用https://192.0.2.1/api/v1/namespaces/kube-system/services/https:elasticsearch-logging:/proxy/_cluster/health?pretty=true
使用 Web 浏览器访问集群上运行的服务
你可以在浏览器的地址栏中输入 API 服务器代理 URL。但是,
- 网页浏览器通常无法传递令牌,因此你可能需要使用基本(密码)身份验证。API 服务器可以配置为接受基本身份验证,但你的集群可能未配置为接受基本身份验证。
- 有些 Web 应用可能无法正常工作,特别是那些客户端 JavaScript 以不了解代理路径前缀的方式构造 URL 的应用。