In diesem Blogbeitrag wird eine effektive Methode zum Erstellen eines Kubernetes-Clients für GKE in Python vorgestellt. Durch die Nutzung der Bibliotheken google-cloud-container, google-auth und kubernetes können Sie denselben Code für die Interaktion mit der Kubernetes-API verwenden, unabhängig davon, ob Ihre Anwendung lokal oder in Google Cloud ausgeführt wird. Diese Flexibilität entsteht durch die Verwendung von Application Default Credentials (ADC) zur Authentifizierung und dynamischen Erstellung der für Kubernetes-API-Interaktionen erforderlichen Anforderungen, sodass keine zusätzlichen Tools oder Konfigurationsdateien wie kubeconfig erforderlich sind.
Bei der lokalen Ausführung besteht ein gängiger Ansatz darin, den Befehl gcloud Container Clusters get-credentials zu verwenden, um eine kubeconfig-Datei zu generieren und mit der Kubernetes-API über kubectl zu interagieren. Während dieser Workflow für lokale Setups natürlich und effektiv ist, wird er in Umgebungen wie Cloud Run oder anderen Google Cloud-Diensten weniger praktisch.
Mit ADC können Sie den Zugriff auf die Kubernetes-API für GKE-Cluster optimieren, indem Sie den Kubernetes-Client dynamisch konfigurieren. Dieser Ansatz gewährleistet eine konsistente und effiziente Möglichkeit, eine Verbindung zu Ihrem Cluster herzustellen, ohne dass der Aufwand für die Verwaltung externer Konfigurationsdateien oder die Installation zusätzlicher Tools anfällt.
Wenn Sie den Code lokal ausführen, authentifizieren Sie sich einfach mit dem folgenden Befehl:
gcloud auth application-default login
Dadurch werden die Anmeldeinformationen Ihres Benutzerkontos als Standardanmeldeinformationen für die Anwendung (ADC) verwendet.
Wenn Sie den Code auf Google Cloud-Diensten wie Cloud Run ausführen, müssen Sie die Authentifizierung nicht manuell durchführen. Stellen Sie einfach sicher, dass dem Dienst ein ordnungsgemäß konfiguriertes Dienstkonto mit den erforderlichen Berechtigungen für den Zugriff auf den GKE-Cluster zugeordnet ist.
Bevor Sie das Skript ausführen, stellen Sie sicher, dass Sie über die folgenden Details verfügen:
Unten finden Sie die Python-Funktion, die einen Kubernetes-Client für einen GKE-Cluster einrichtet.
gcloud auth application-default login
Die Funktion get_k8s_client beginnt mit dem Abrufen von Clusterdetails aus GKE mithilfe der Google-Cloud-Container-Bibliothek. Diese Bibliothek interagiert mit dem GKE-Dienst und ermöglicht Ihnen das Abrufen von Informationen wie dem API-Endpunkt und der Zertifizierungsstelle (CA) des Clusters. Diese Details sind für die Konfiguration des Kubernetes-Clients unerlässlich.
from google.cloud import container_v1
import google.auth
import google.auth.transport.requests
from kubernetes import client as kubernetes_client
from tempfile import NamedTemporaryFile
import base64
import yaml
def get_k8s_client(project_id: str, location: str, cluster_id: str) -> kubernetes_client.CoreV1Api:
"""
Fetches a Kubernetes client for the specified GCP project, location, and cluster ID.
Args:
project_id (str): Google Cloud Project ID
location (str): Location of the cluster (e.g., "us-central1-a")
cluster_id (str): Name of the Kubernetes cluster
Returns:
kubernetes_client.CoreV1Api: Kubernetes CoreV1 API client
"""
# Retrieve cluster information
gke_cluster = container_v1.ClusterManagerClient().get_cluster(request={
"name": f"projects/{project_id}/locations/{location}/clusters/{cluster_id}"
})
# Obtain Google authentication credentials
creds, _ = google.auth.default()
auth_req = google.auth.transport.requests.Request()
# Refresh the token
creds.refresh(auth_req)
# Initialize the Kubernetes client configuration object
configuration = kubernetes_client.Configuration()
# Set the cluster endpoint
configuration.host = f'https://{gke_cluster.endpoint}'
# Write the cluster CA certificate to a temporary file
with NamedTemporaryFile(delete=False) as ca_cert:
ca_cert.write(base64.b64decode(gke_cluster.master_auth.cluster_ca_certificate))
configuration.ssl_ca_cert = ca_cert.name
# Set the authentication token
configuration.api_key_prefix['authorization'] = 'Bearer'
configuration.api_key['authorization'] = creds.token
# Create and return the Kubernetes CoreV1 API client
return kubernetes_client.CoreV1Api(kubernetes_client.ApiClient(configuration))
def main():
project_id = "your-project-id" # Google Cloud Project ID
location = "your-cluster-location" # Cluster region (e.g., "us-central1-a")
cluster_id = "your-cluster-id" # Cluster name
# Retrieve the Kubernetes client
core_v1_api = get_k8s_client(project_id, location, cluster_id)
# Fetch the kube-system Namespace
namespace = core_v1_api.read_namespace(name="kube-system")
# Output the Namespace resource in YAML format
yaml_output = yaml.dump(namespace.to_dict(), default_flow_style=False)
print(yaml_output)
if __name__ == "__main__":
main()
Es ist wichtig zu beachten, dass die Google-Cloud-Container-Bibliothek für die Interaktion mit GKE als Dienst und nicht direkt mit Kubernetes-APIs konzipiert ist. Während Sie diese Bibliothek beispielsweise verwenden können, um Cluster-Informationen abzurufen, Cluster zu aktualisieren oder Wartungsrichtlinien zu konfigurieren – ähnlich wie Sie dies mit dem Befehl „gcloud container clusters“ tun können – können Sie sie nicht verwenden, um einen Kubernetes-API-Client direkt abzurufen. Aufgrund dieser Unterscheidung erstellt die Funktion separat einen Kubernetes-Client, nachdem sie die erforderlichen Clusterdetails von GKE abgerufen hat.
Um mit GKE- und Kubernetes-APIs zu interagieren, verwendet die Funktion zur Authentifizierung die Application Default Credentials (ADC) von Google Cloud. So funktionieren die einzelnen Schritte des Authentifizierungsprozesses:
Diese Funktion ruft den ADC für die Umgebung ab, in der der Code ausgeführt wird. Je nach Kontext wird möglicherweise Folgendes zurückgegeben:
Es gibt auch die zugehörige Projekt-ID zurück, sofern verfügbar, obwohl in diesem Fall nur die Anmeldeinformationen verwendet werden.
Dadurch wird ein HTTP-Anforderungsobjekt für die Verarbeitung authentifizierungsbezogener Netzwerkanforderungen erstellt. Es nutzt intern die Anforderungsbibliothek von Python und bietet eine standardisierte Möglichkeit, Anmeldeinformationen zu aktualisieren oder Zugriffstokens anzufordern.
Wenn ADC mit google.auth.default() abgerufen wird, enthält das Anmeldeinformationsobjekt zunächst kein Zugriffstoken (zumindest in einer lokalen Umgebung). Die Methode „refresh()“ ruft explizit ein Zugriffstoken ab und hängt es an das Anmeldeinformationsobjekt an, sodass es API-Anfragen authentifizieren kann.
Der folgende Code zeigt, wie Sie dieses Verhalten überprüfen können:
gke_cluster = container_v1.ClusterManagerClient().get_cluster(request={
"name": f"projects/{project_id}/locations/{location}/clusters/{cluster_id}"
})
Beispielausgabe:
# Obtain Google authentication credentials
creds, _ = google.auth.default()
auth_req = google.auth.transport.requests.Request()
# Inspect credentials before refreshing
print(f"Access Token (before refresh()): {creds.token}")
print(f"Token Expiry (before refresh()): {creds.expiry}")
# Refresh the token
creds.refresh(auth_req)
# Inspect credentials after refreshing
print(f"Access Token (after): {creds.token}")
print(f"Token Expiry (after): {creds.expiry}")
Vor dem Aufruf von „refresh()“ lautet das Token-Attribut „None“. Nachdem „refresh()“ aufgerufen wurde, werden die Anmeldeinformationen mit einem gültigen Zugriffstoken und seiner Ablaufzeit gefüllt.
Der Kubernetes-Client wird mithilfe des API-Endpunkts des Clusters, einer temporären Datei für das CA-Zertifikat und dem aktualisierten Bearer-Token konfiguriert. Dadurch wird sichergestellt, dass sich der Client sicher authentifizieren und mit dem Cluster kommunizieren kann.
gcloud auth application-default login
Das CA-Zertifikat wird vorübergehend gespeichert und vom Client für eine sichere SSL-Kommunikation referenziert. Mit diesen Einstellungen ist der Kubernetes-Client vollständig konfiguriert und bereit für die Interaktion mit dem Cluster.
Hier ist ein Beispiel der YAML-Ausgabe für den kube-system-Namespace:
from google.cloud import container_v1
import google.auth
import google.auth.transport.requests
from kubernetes import client as kubernetes_client
from tempfile import NamedTemporaryFile
import base64
import yaml
def get_k8s_client(project_id: str, location: str, cluster_id: str) -> kubernetes_client.CoreV1Api:
"""
Fetches a Kubernetes client for the specified GCP project, location, and cluster ID.
Args:
project_id (str): Google Cloud Project ID
location (str): Location of the cluster (e.g., "us-central1-a")
cluster_id (str): Name of the Kubernetes cluster
Returns:
kubernetes_client.CoreV1Api: Kubernetes CoreV1 API client
"""
# Retrieve cluster information
gke_cluster = container_v1.ClusterManagerClient().get_cluster(request={
"name": f"projects/{project_id}/locations/{location}/clusters/{cluster_id}"
})
# Obtain Google authentication credentials
creds, _ = google.auth.default()
auth_req = google.auth.transport.requests.Request()
# Refresh the token
creds.refresh(auth_req)
# Initialize the Kubernetes client configuration object
configuration = kubernetes_client.Configuration()
# Set the cluster endpoint
configuration.host = f'https://{gke_cluster.endpoint}'
# Write the cluster CA certificate to a temporary file
with NamedTemporaryFile(delete=False) as ca_cert:
ca_cert.write(base64.b64decode(gke_cluster.master_auth.cluster_ca_certificate))
configuration.ssl_ca_cert = ca_cert.name
# Set the authentication token
configuration.api_key_prefix['authorization'] = 'Bearer'
configuration.api_key['authorization'] = creds.token
# Create and return the Kubernetes CoreV1 API client
return kubernetes_client.CoreV1Api(kubernetes_client.ApiClient(configuration))
def main():
project_id = "your-project-id" # Google Cloud Project ID
location = "your-cluster-location" # Cluster region (e.g., "us-central1-a")
cluster_id = "your-cluster-id" # Cluster name
# Retrieve the Kubernetes client
core_v1_api = get_k8s_client(project_id, location, cluster_id)
# Fetch the kube-system Namespace
namespace = core_v1_api.read_namespace(name="kube-system")
# Output the Namespace resource in YAML format
yaml_output = yaml.dump(namespace.to_dict(), default_flow_style=False)
print(yaml_output)
if __name__ == "__main__":
main()
Dieser Ansatz unterstreicht die Portabilität der Verwendung desselben Codes für die Interaktion mit der Kubernetes-API, unabhängig davon, ob er lokal oder auf einem Google Cloud-Dienst wie Cloud Run ausgeführt wird. Durch die Nutzung von Application Default Credentials (ADC) haben wir eine flexible Methode zur dynamischen Generierung eines Kubernetes-API-Clients demonstriert, ohne auf vorgenerierte Konfigurationsdateien oder externe Tools angewiesen zu sein. Dadurch ist es einfach, Anwendungen zu erstellen, die sich nahtlos an verschiedene Umgebungen anpassen lassen, wodurch sowohl Entwicklungs- als auch Bereitstellungsabläufe vereinfacht werden.
Das obige ist der detaillierte Inhalt vonErstellen eines Kubernetes-Clients für Google Kubernetes Engine (GKE) in Python. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
403verbotene Lösung
Welche Kodierung wird in einem Computer zur Verarbeitung von Daten und Anweisungen verwendet?
Was bedeutet STO in der Blockchain?
Lösung für Ordner-Exe-Viren
So lösen Sie das Problem, dass der Scanf-Rückgabewert ignoriert wird
Verwendung in C-Sprache behoben
So ändern Sie die Hosts-Datei
So löschen Sie Array-Elemente in JavaScript
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
