设置一个扩展的 API server

    1. 确保启用了 APIService API(检查 --runtime-config)。默认应该是启用的,除非被特意关闭了。
    2. 您可能需要制定一个 RBAC 规则,以允许您添加 APIService 对象,或让您的集群管理员创建一个。(由于 API 扩展会影响整个集群,因此不建议在实时集群中对 API 扩展进行测试/开发/调试)
    3. 创建(或获取)用来签署服务器证书的 CA 证书,扩展 api-server 中将使用该证书做 HTTPS 连接。
    4. 为 api-server 创建一个服务端的证书(或秘钥)以使用 HTTPS。这个证书应该由上述的 CA 签署。同时应该还要有一个 Kube DNS 名称的 CN,这是从 Kubernetes 服务派生而来的,格式为 。
    5. 使用命名空间中的证书(或秘钥)创建一个 Kubernetes secret。
    6. 为扩展 api-server 创建一个 Kubernetes deployment,并确保以卷的方式挂载了 secret。它应该包含对扩展 api-server 镜像的引用。Deployment 也应该在同一个命名空间中。
    7. 确保您的扩展 apiserver 从该卷中加载了那些证书,并在 HTTPS 握手过程中使用它们。
    8. 在您的命令空间中创建一个 Kubernetes service account。
    9. 为资源允许的操作创建 Kubernetes 集群角色。
    10. 以您命令空间中的 service account 创建一个 Kubernetes 集群角色绑定,绑定到 system:auth-delegator 集群角色,以将 auth 决策委派给 Kubernetes 核心 API 服务器。
    11. 以您命令空间中的 service account 创建一个 Kubernetes 集群角色绑定,绑定到 角色。这将让您的扩展 api-server 能够访问 extension-apiserver-authentication configmap。
    12. 创建一个 Kubernetes apiservice。上述的 CA 证书应该使用 base64 编码,剥离新行并用作 apiservice 中的 spec.caBundle。这不应该是命名空间化的。如果使用了 kube-aggregator API,那么只需要传入 PEM 编码的 CA 绑定,因为 base 64 编码已经完成了。
    13. 使用 kubectl 来获得您的资源。它应该返回 “找不到资源”。这意味着一切正常,但您目前还没有创建该资源类型的对象。