kubectlプロキシの目的は何ですか?

7
user2486738 2019-01-24 07:51.

Kubernetesダッシュボードにアクセスするには、ローカルマシンでkubectlプロキシを実行してから、ウェブブラウザでプロキシを指定する必要があります。同様に、Sparkジョブを送信する場合は、ローカルマシンでkubectlプロキシを再度実行してから、ローカルホストアドレスに対してspark-submitを実行します。

私の質問は、なぜKubernetesがこの独特の配置を持っているのかということです。ダッシュボードサービスはKubernetesクラスターで実行されているのに、Webブラウザーをクラスターに直接向けないのはなぜですか?なぜプロキシがあるのですか?場合によっては、プロキシの必要性が不便です。たとえば、WebサーバーからSparkジョブを送信したいとします。それはできません。最初にプロキシを実行する必要がありますが、これにより特定のクラスターに関連付けられます。多くのKubernetesクラスターがある可能性があります。

プロキシ経由でのみアクセスできるようにKubernetesが設計されたのはなぜですか?

2 answers

11
VASャ 2019-01-25 01:23.

クラスター内のアプリケーションには、さまざまな方法でアクセスできます。

  1. を使用して https://kubernetes.io/docs/tasks/access-application-cluster/access-cluster/#manually-constructing-apiserver-proxy-urls、ただし、認証と承認の段階に合格する必要があります。
  2. を使用して http://alesnosek.com/blog/2017/02/14/accessing-kubernetes-pods-from-outside-of-the-cluster/。ポッドがhostNetwork:trueで構成されている場合、そのようなポッドで実行されているアプリケーションは、ポッドが開始されたホストマシンのネットワークインターフェイスを直接見ることができます。
  3. を使用して http://alesnosek.com/blog/2017/02/14/accessing-kubernetes-pods-from-outside-of-the-cluster/。容器ポートは、外部ネットワークに露出されhostIP:hostPorthostIPコンテナが実行されているKubernetesノードのIPアドレスであり、hostPortユーザによって要求されたポートです。
  4. タイプのサービスを使用する: https://kubernetes.io/docs/concepts/services-networking/service/#proxy-mode-iptables。ClusterIPサービスは、クラスターおよびクラスターノード内のポッドに対してのみアクセス可能です。
  5. タイプのサービスを使用する: https://kubernetes.io/docs/concepts/services-networking/service/#nodeport。ClusterIPに加えて、このサービスはランダムに取得されるか、の範囲からユーザーポートによって指定されます30000-32767。すべてのクラスターノードはそのポートをリッスンし、すべてのトラフィックを対応するサービスに転送します。
  6. タイプのサービスを使用する: https://kubernetes.io/docs/concepts/services-networking/service/#loadbalancer。サポートされているクラウドプロバイダーとでのみ機能しますhttps://github.com/google/metallbオンプレミスクラスターの場合。Kubernetesは、NodePortを開くことに加えてNodeIP:Nodeport、そのサービスのトラフィックを転送するクラウドロードバランサーを作成します。

だから基本的に: [[[ Kubernetes Service type:ClusterIP] + NodePort ] + LoadBalancer ]

  1. Ingress(ingress-controller + Ingressオブジェクト)を使用します。Ingress-controllerは、NodeportまたはLoadBalancerサービスによって公開され、クラスターサービスのL7リバースプロキシ/ LBとして機能します。ClusterIPサービスにアクセスできるため、Ingressを使用する場合はサービスを公開する必要はありません。SSLターミネーションやURLパスに基づくトラフィックの転送に使用できます。最も人気のある入力コントローラーは次のとおりです。

さて、約kubectl proxy。最初の方法を使用してクラスターに接続します。基本的に、.kube / config内のクラスター構成を読み取り、そこから認証情報を使用して、クラスターAPIサーバーの認証と承認の段階を通過します。次に、ローカルマシンからAPI-Serverインターフェースへの通信チャネルを作成するため、ローカルポートを使用して、リクエストごとに認証情報を指定しなくても、KubernetesクラスターAPIにリクエストを送信できます。

1
Diego Mendes 2019-03-23 03:43.

プロキシ経由でのみアクセスできるようにKubernetesが設計されたのはなぜですか?

簡単に言えば、セキュリティ利便性のために

クラスターはデフォルトで分離されているため、公開されたサービスが開く可能性のあるすべてのセキュリティ違反について考える管理者の負担が軽減されます。

プロキシはクラスター(APIサーバー)とクライアント間の安全な接続を提供します。これにより、クラスターと通信するためだけにセキュリティロジックを実装するためにすべてのアプリケーションを変更する必要がなくなります。このように、一度認証すると、すべてのアプリケーションがこれを使用します。変更なしの安全な接続。

あなたの例で述べたように、通信するためにクラスターで認証する必要はありませんでした。kubectlがあなたに代わって作業を行い、すべてのAPIサーバー呼び出しにあなたに代わってセキュリティが設定されます。

プロキシなしでクラスターにアクセスすることもできます。問題は、クラスターを手動で構成してサーバーに対してアプリを認証する必要があり、単純なコマンドで行う便利さが失われることです。

Related questions

MORE COOL STUFF

「水曜日」シーズン1の中心には大きなミステリーがあります

「水曜日」シーズン1の中心には大きなミステリーがあります

Netflixの「水曜日」は、典型的な10代のドラマ以上のものであり、実際、シーズン1にはその中心に大きなミステリーがあります.

一部のファンがハリー・スタイルズとオリビア・ワイルドの「非常に友好的な」休憩が永続的であることを望んでいる理由

一部のファンがハリー・スタイルズとオリビア・ワイルドの「非常に友好的な」休憩が永続的であることを望んでいる理由

一部のファンが、オリビア・ワイルドが彼女とハリー・スタイルズとの間の「難しい」が「非常に友好的」な分割を恒久的にすることを望んでいる理由を見つけてください.

エリザベス女王の死後、ケイト・ミドルトンはまだ「非常に困難な時期」を過ごしている、と王室の専門家が明らかにする 

エリザベス女王の死後、ケイト・ミドルトンはまだ「非常に困難な時期」を過ごしている、と王室の専門家が明らかにする 

エリザベス女王の死後、ケイト・ミドルトンが舞台裏で「非常に困難な時期」を過ごしていたと伝えられている理由を調べてください.

ウィリアム王子は「非常に現代的なお父さん」だと王室の専門家は言う

ウィリアム王子は「非常に現代的なお父さん」だと王室の専門家は言う

ある王室の専門家が、特に彼の家族の他の王室の両親と比較して、ウィリアム王子が「非常に現代的な父親」であると考える理由を学びましょう.

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セントヘレナのジェイコブのはしごを登るのは、気弱な人向けではありません

セント ヘレナ島のジェイコブズ ラダーは 699 段の真っ直ぐ上る階段で、頂上に到達すると証明書が発行されるほどの難易度です。

The Secrets of Airline Travel Quiz

The Secrets of Airline Travel Quiz

Air travel is far more than getting from point A to point B safely. How much do you know about the million little details that go into flying on airplanes?

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

バイオニック読書はあなたをより速く読むことができますか?

バイオニック読書はあなたをより速く読むことができますか?

BionicReadingアプリの人気が爆発的に高まっています。しかし、それは本当にあなたを速読術にすることができますか?

メイミー・ジョンソン、ニグロリーグでピッチングした女性、82歳で死去

メイミー・ジョンソン、ニグロリーグでピッチングした女性、82歳で死去

写真提供者:Khue Bui / AP Mamie Johnsonは、ニグロリーグでプレーする3人の女性の1人で、82歳で亡くなりました。ジョンソンは子供の頃から野球を始め、最初に全米女子プロ野球に挑戦しました。 17歳のリーグだが、黒人だったのでフィールドへの出場は許されなかった。

グローアップゴール:カルメンデラヴァラードは時代を超えた魅力の縮図です

グローアップゴール:カルメンデラヴァラードは時代を超えた魅力の縮図です

ジャックミッチェル/ゲッティイメージズ日曜日の夜、ダンサー、振付師、女優のカルメンデラヴァラードが第40回ケネディセンター名誉賞を受賞しました。今年は、ドナルドトランプ首長のクレチンが祝福されていないことで、この式典がさらに注目を集めました。まだ見事な86歳のとき、伝説的なパフォーマーであるde Lavalladeは失望せず、真の優雅さと美しさが時代を超えていることを示しました。

ファイナルファンタジーXVのマルチプレイヤーは少量でとても楽しいです

ファイナルファンタジーXVのマルチプレイヤーは少量でとても楽しいです

くそー、私はちょうどこのシャツを買いました。一部の人にとっては、ファイナルファンタジーXVのマルチプレイヤー拡張パックは、スクウェア・エニックスの壮大なRPGを友達と体験するための面白い(少しイライラする場合でも)方法です。

ナズは面会権をめぐってケリスを法廷に連れて行く

ナズは面会権をめぐってケリスを法廷に連れて行く

ナズとケリス(ローレンス・ルシエ/ゲッティイメージズ)ナズは息子とより多くの時間を過ごしたいと考えており、現在、元妻のケリスを正式な面会スケジュールのために法廷に連れて行っています。ブラストが入手した文書によると、ナズは彼がは「長年にわたってケリスと協力して働いてきた」が、ケリスは「彼女が自分にとって都合がよいと判断した場合にのみ、息子との監護権を行使することを許可している。

ケイト・ミドルトンとウィリアム王子は、彼らが子供たちと行っているスパイをテーマにした活動を共有しています

ケイト・ミドルトンとウィリアム王子は、彼らが子供たちと行っているスパイをテーマにした活動を共有しています

ケイト・ミドルトンとウィリアム王子は、子供向けのパズルの本の序文を書き、ジョージ王子、シャーロット王女、ルイ王子と一緒にテキストを読むと述べた.

事故で押しつぶされたスイカは、動物を喜ばせ水分補給するために野生生物保護団体に寄付されました

事故で押しつぶされたスイカは、動物を喜ばせ水分補給するために野生生物保護団体に寄付されました

Yak's Produce は、数十個のつぶれたメロンを野生動物のリハビリ専門家であるレスリー グリーンと彼女のルイジアナ州の救助施設で暮らす 42 匹の動物に寄付しました。

デミ・ロヴァートは、新しいミュージシャンのボーイフレンドと「幸せで健康的な関係」にあります: ソース

デミ・ロヴァートは、新しいミュージシャンのボーイフレンドと「幸せで健康的な関係」にあります: ソース

8 枚目のスタジオ アルバムのリリースに向けて準備を進めているデミ ロヴァートは、「スーパー グレート ガイ」と付き合っている、と情報筋は PEOPLE に確認しています。

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

Plathville の Kim と Olivia Plath が数年ぶりに言葉を交わすことへようこそ

イーサン プラスの誕生日のお祝いは、TLC のウェルカム トゥ プラスビルのシーズン 4 のフィナーレで、戦争中の母親のキム プラスと妻のオリビア プラスを結びつけました。

仕事の生産性を高める 8 つのシンプルなホーム オフィスのセットアップのアイデア

仕事の生産性を高める 8 つのシンプルなホーム オフィスのセットアップのアイデア

ホームオフィスのセットアップ術を極めよう!AppExert の開発者は、家族全員が一緒にいる場合でも、在宅勤務の技術を習得しています。祖父や曽祖父が共同家族で暮らしていた頃の記憶がよみがえりました。

2022 年、私たちのデジタル ライフはどこで終わり、「リアル ライフ」はどこから始まるのでしょうか?

20 年前のタイムトラベラーでさえ、日常生活におけるデジタルおよびインターネットベースのサービスの重要性に驚くことでしょう。MySpace、eBay、Napster などのプラットフォームは、高速化に焦点を合わせた世界がどのようなものになるかを示してくれました。

ニューロマーケティングの秘密科学

ニューロマーケティングの秘密科学

マーケティング担当者が人間の欲望を操作するために使用する、最先端の (気味が悪いと言う人もいます) メソッドを探ります。カートをいっぱいにして 3 桁の領収書を持って店を出る前に、ほんの数点の商品を買いに行ったことはありませんか? あなたは一人じゃない。

地理情報システムの日: GIS 開発者として学ぶべき最高の技術スタック

地理情報システムの日: GIS 開発者として学ぶべき最高の技術スタック

私たちが住んでいる世界を確実に理解するには、データが必要です。ただし、空間参照がない場合、このデータは地理的コンテキストがないと役に立たなくなる可能性があります。

Language