安装一个扩展的 API server

    你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程,且这些节点不作为控制平面主机。 如果你还没有集群,你可以通过 构建一个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:

    要获知版本信息,请输入 .

    或者,你可以使用现有的第三方解决方案,例如 apiserver-builder, 它将生成框架并自动执行以下所有步骤。

    1. 确保启用了 APIService API(检查 --runtime-config)。默认应该是启用的,除非被特意关闭了。
    2. 创建 Kubernetes 命名空间,扩展的 api-service 将运行在该命名空间中。
    3. 创建(或获取)用来签署服务器证书的 CA 证书,扩展 api-server 中将使用该证书做 HTTPS 连接。
    4. 为 api-server 创建一个服务端的证书(或秘钥)以使用 HTTPS。这个证书应该由上述的 CA 签署。 同时应该还要有一个 Kube DNS 名称的 CN,这是从 Kubernetes 服务派生而来的, 格式为 。
    5. 使用命名空间中的证书(或秘钥)创建一个 Kubernetes secret。

    6. 为扩展 api-server 创建一个 Kubernetes Deployment,并确保以卷的方式挂载了 Secret。 它应该包含对扩展 api-server 镜像的引用。Deployment 也应该在同一个命名空间中。

    8. 在你的命名空间中创建一个 Kubernetes 服务账号。
    9. 用你命名空间中的服务账号创建一个 Kubernetes 集群角色绑定,绑定到你创建的角色上。
    10. 用你命名空间中的服务账号创建一个 Kubernetes 集群角色绑定,绑定到 system:auth-delegator 集群角色,以将 auth 决策委派给 Kubernetes 核心 API 服务器。

    11. 以你命名空间中的服务账号创建一个 Kubernetes 集群角色绑定,绑定到 角色。 这将让你的扩展 api-server 能够访问 extension-apiserver-authentication configmap。

    12. 创建一个 Kubernetes apiservice。 上述的 CA 证书应该使用 base64 编码,剥离新行并用作 apiservice 中的 spec.caBundle。 该资源不应放到任何名字空间。如果使用了 ,那么只需要传入 PEM 编码的 CA 绑定,因为 base 64 编码已经完成了。

    13. 使用 kubectl 来获得你的资源。 它应该返回 “找不到资源”。此消息表示一切正常,但你目前还没有创建该资源类型的对象。