问题描述
我正在寻找一种从 C# 应用程序中的 Pod 访问 Kubernetes API 的轻量级方法。
Kubernetes 文档提到了 accessing the API from a Pod 的两种方式:
- 在 pod 的 sidecar 容器中运行 kubectl 代理,或作为容器内的后台进程
这通常是有效的,并且允许使用一两行代码轻松访问 API 端点 - 示例:
using System;
using System.Net;
namespace GetIngresses
{
class Program
{
static void Main(string[] args)
{
var apiBaseUrl = "http://127.0.0.1:8001"; // requires kubectl proxy
Console.WriteLine((new WebClient()).
DownloadString($"{apiBaseUrl}/apis/networking.k8s.io/v1/ingresses"));
}
}
}
但是,现在有一个正在运行的 kubectl proxy 进程来监控、维护等 - 这对于生产来说似乎并不理想。
我的应用程序是用 C# 编写的,而不是 Go。有一个 C# client library 大概可以达到同样的目的。但是,我真的必须为了对单个端点进行简单的 GET 操作而引入整个客户端库吗?
理想情况下,我只想使用 WebClient,就像上面的例子一样。文档提到
在 pod 中定位 apiserver 的推荐方法是使用 kubernetes.default.svc DNS 名称,该名称解析为服务 IP,然后将路由到 apiserver。
那么,在上面的例子中,我可以这样做吗...
var apiBaseUrl = "http://kubernetes.default.svc"
... 并让 WebClient 传递所需的服务帐户凭据?如果是,如何?
解决方法
理想情况下,我只想使用 WebClient
Kubernetes 是一个 REST API,所以这会起作用。如 Directly accessing the REST API using kubectl proxy 所示,使用例如curl。
curl 和 kubectl proxy 示例 - 响应采用 json 格式。
curl http://localhost:8080/api/v1/pods
复杂的因素是您可能需要一个私有证书包,出于安全原因正确验证它是一种很好的做法。当 accessing 来自 Pod 的 API 时,客户端证书位于 /var/run/secrets/kubernetes.io/serviceaccount/ca.crt 上,此外,您需要使用位于 /var/run/secrets/kubernetes.io/serviceaccount/token
但是,我真的必须为了对单个端点进行简单的 GET 操作而引入整个客户端库吗?
您从客户端库中获得的是:
- 使用证书和令牌实施身份验证
- 键入的客户端访问权限 - 而不是手动编码网址和请求
dotnet-client 示例显示了“类型化客户端访问”的样子,用于“在默认命名空间中列出 Pod”(参见 authentication alternatives):
var config = KubernetesClientConfiguration.InClusterConfig() // auth from Pod
IKubernetes client = new Kubernetes(config);
Console.WriteLine("Starting Request!");
var list = client.ListNamespacedPod("default");
foreach (var item in list.Items)
{
Console.WriteLine(item.Metadata.Name);
}