Întrebarea mea este că dacă un client să presupunem că kubectl trebuie să acceseze un cluster pentru diferite operații de obținere/ștergere/editare
2) Și dacă kubelet trebuie să vorbească cu punctul final API
Corect, acele două interacțiuni rezolvă aceeași problemă: cum funcționează un proces care este extern până la clusterul kubernetes ajungeți la planul de control.S-ar putea imagina că ar fi limitat la (de exemplu) doar VPN-ul corporativ pentru kubectl
operațiuni, sau doar subrețelele lucrătoare pentru kubelet
.
kubelet
de fapt nu nevoie pentru a utiliza NLB (adică traficul care iese din VPC prin orice GW Nat/Internet GW către NLB și înapoi în VPC), este perfect sigur și eficient să îndreptați configurația lui Kubelet către partea „internă” a acelui NLB, deci atâta timp cât certificatele planului de control au suficiente intrări Subject Alternative Name pentru a satisface acordul TLS. De aceea, oamenii nu se deranjează să distingă aceste două cazuri, dar dacă este o problemă de securitate (sau cost!) pentru organizația dvs., este 100% posibil să împărțiți aceste două interacțiuni.
Care API folosește acest serviciu?
CNI Serviciu
indică același plan de control, dar traficul circulă în interiorul clusterului și asta kubernetes.default.svc.cluster.local
Serviciu
este disponibil tuturor Spațiu de nume
este tot timpul și este modul în care orice client kubernetes din Pod folosește sistemul încorporat Service Account
jeton pentru a ajunge la API-ul kubernetes. În acest fel, nimic care rulează în interiorul clusterului nu trebuie să aibă nicio configurație pentru a ajunge la API -- inclusiv accesul la Internet -- deoarece traficul din cluster nu părăsește rețeaua CNI.