kubernetes kube-apiserver源码阅读8之Hook
阅读kube-apiserver
的过程中,会发现很多的AddPostStartHook
的代码,这部分代码用于执行kube-apiserver
启动之后的逻辑,因为他们放在启动后执行更适合,所以就提供了两种钩子(Hook), PostStartHook
和PreShutdownHook
。这里只看PostStartHook
,并且只看bootstrap-controller
对应的钩子函数。
阅读kube-apiserver
的过程中,会发现很多的AddPostStartHook
的代码,这部分代码用于执行kube-apiserver
启动之后的逻辑,因为他们放在启动后执行更适合,所以就提供了两种钩子(Hook), PostStartHook
和PreShutdownHook
。这里只看PostStartHook
,并且只看bootstrap-controller
对应的钩子函数。
从前文我们已经了解到kube-apiserver
内部有三个组件,分别是apiExtensionsServer
,kubeAPIServer
,aggregatorServer
, 为了方便用户扩展,所以存在apiExtensionsServer
, 因为k8s有自己的核心资源,所以需要kubeAPIServer
, 为了将两者结合起来所以需要aggregatorServer
, 那么aggregatorServer
怎么两者的资源集中在一起并提供给用户查询呢? 本文尝试从k8s的源代码中找到问题的答案。
之前看过kube-apiserver
请求处理链的相关内容,知道一些通用逻辑,如认证,鉴权,审计之类的内容都以一种链条的方式组合在一起依次调用,但是这些处理函数中并不包含准入的业务逻辑,之所以这样,我想是因为准入只针对修改请求,所以放在通用的处理链中会不太和谐,再者就是准入是比较重要的抽象,所以单独抽离出来了。
这里一节主要看kube-apiserver
的路由注册和最终映射到后端存储的处理函数是怎么构造的,kube-apiserver
中一共有三个组件,apiExtensionsServer
,kubeAPIServer
, aggregatorServer
,每个组件都有路由注册,但其实核心逻辑是差不多的。
如果认证成功,那么客户端的可以标识成了一个用户了,而这个用户一般至少拥有两个信息,用户和用户组。通过这两个信息就可以给用户鉴权了。
kubernetes代码版本: v1.20.2
从前文我们知道,认证,鉴权,审计等操作的并没有集成在GenericServer
里面,所以本文看看这个请求链是怎么工作的。
kubernetes代码版本: v1.20.2
前一节大致看了一下apiserver 的启动流程,以及组成kube-apiserver
的三个组件,这一节看看三个组件都会用到的一个非常重要的对象GenericAPIServer
, 它是一个HTTP Server的抽象, 虽然这么说很抽象。它会提供注册路由的入口以及各种钩子函数的注册入口。
kubernetes代码版本: v1.20.2
个人认为kube-apiserver
是k8s中最核心的组件,承上启下,无论是k8s其他组件还是是外部客户端都需要跟kube-apiserver
组件进行交互,kube-apiserver
负责接受请求并将数据持久化到后端存储(一般来说就是etcd.)。