kube-apiserver Aggregation Layer

配置Aggregation Layer允许通过新增一个扩展apiserver服务来扩展非核心api。

与CRD扩展api的方式不同, Aggregation API需要另一个扩展的apiserver(aggregated apiserver)。扩展apiserver(aggregated apiserver)与kube-apiserver(aggregator)之间需要互相通信。为了保证通信安全,kube-apiserver(aggregator)使用x509证书认证去访问扩展apiserver(aggregated apiserver)

  1. 用户发起请求,携带用户凭证到kube-apiserver认证
  2. kube-apiserver认证请求
  3. kube-apiserver鉴权请求
  4. kube-apiserver通过客户端证书和密钥和aggregated apiserver建立连接
  5. kube-apiserver将包含user info的请求转发给aggregated apiserver
  6. aggregated apiserver通过auth proxy authrntication method认证发来的请求
  7. aggregated apiserver

Reference

k8s

本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!