我无法直接访问 kube-apiserver pod,但我可以访问 kube-proxy pod。我可以curl https://localhost:6443/healthz作为健康探测器运行kube-apiserver吗?
问问题
108 次
1 回答
1
所有 Pod 都可以访问 API 服务器:这是由安装在/var/run/secrets/kubernetes.io/serviceaccount/token.
在继续之前,您必须确保您的 Pod 被允许访问 API 服务器,因此不会被 NetworkPolicy 阻止:此要求尚未在您的问题中声明,因此并非如此。
所述令牌用于对 API Server 执行操作,例如对受 RBAC 保护的资源执行 CRUD 操作。
如果您只需要检查 API Server 的健康状况,您可以使用挂载的 CA 公共证书/var/run/secrets/kubernetes.io/serviceaccount/ca.pem和在运行时在您的 Pod 中已经注入的环境变量KUBERNETES_SERVICE_HOST指向 API Server,以及使用KUBERNETES_SERVICE_PORT443应该是默认值。
例子
# kubectl run -it --image curlimages/curl curl --command -- sh
If you don't see a command prompt, try pressing enter.
/ $ env | grep -i kubernetes
KUBERNETES_SERVICE_PORT=443
KUBERNETES_PORT=tcp://10.96.0.1:443
KUBERNETES_PORT_443_TCP_ADDR=10.96.0.1
KUBERNETES_PORT_443_TCP_PORT=443
KUBERNETES_PORT_443_TCP_PROTO=tcp
KUBERNETES_SERVICE_PORT_HTTPS=443
KUBERNETES_PORT_443_TCP=tcp://10.96.0.1:443
KUBERNETES_SERVICE_HOST=10.96.0.1
/ $ curl --cacert /var/run/secrets/kubernetes.io/serviceaccount/ca.crt https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_SERVICE_PORT/api
-H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)"
{
"kind": "APIVersions",
"versions": [
"v1"
],
"serverAddressByClientCIDRs": [
{
"clientCIDR": "0.0.0.0/0",
"serverAddress": "172.20.0.2:6443"
}
]
}
于 2021-03-15T09:22:22.213 回答