这篇博文介绍了一种使用 Python 为 GKE 创建 Kubernetes 客户端的有效方法。通过利用 google-cloud-container、google-auth 和 kubernetes 库,无论您的应用程序是在本地运行还是在 Google Cloud 上运行,您都可以使用相同的代码与 Kubernetes API 进行交互。这种灵活性来自于使用应用程序默认凭证(ADC)来验证和动态构建 Kubernetes API 交互所需的请求,从而无需使用额外的工具或配置文件(如 kubeconfig)。
本地运行时,常见的方法是使用 gcloud 容器集群 get-credentials 命令生成 kubeconfig 文件并使用 kubectl 与 Kubernetes API 交互。虽然此工作流程对于本地设置来说是自然且有效的,但在 Cloud Run 或其他 Google Cloud 服务等环境中却变得不太实用。
借助 ADC,您可以通过动态配置 Kubernetes 客户端来简化对 GKE 集群的 Kubernetes API 的访问。这种方法可确保以一致、高效的方式连接到集群,而无需管理外部配置文件或安装额外工具的开销。
如果您在本地运行代码,只需使用以下命令进行身份验证:
这将使用您的用户帐户凭据作为应用程序默认凭据(ADC)。
如果您在 Cloud Run 等 Google Cloud 服务上运行代码,则无需手动处理身份验证。只需确保该服务具有正确配置的服务帐户,并具有访问 GKE 集群所需的权限。
运行脚本之前,请确保您了解以下详细信息:
下面是为 GKE 集群设置 Kubernetes 客户端的 Python 函数。
get_k8s_client 函数首先使用 google-cloud-container 库从 GKE 获取集群详细信息。该库与 GKE 服务交互,允许您检索集群的 API 端点和证书颁发机构 (CA) 等信息。这些详细信息对于配置 Kubernetes 客户端至关重要。
需要注意的是,google-cloud-container 库是为与 GKE 作为服务交互而设计的,而不是直接与 Kubernetes API 交互。例如,虽然您可以使用此库检索集群信息、升级集群或配置维护策略(类似于使用 gcloud 容器集群命令执行的操作),但您无法使用它直接获取 Kubernetes API 客户端。这种区别就是为什么该函数在从 GKE 获取必要的集群详细信息后单独构建 Kubernetes 客户端。
为了与 GKE 和 Kubernetes API 交互,该函数使用 Google Cloud 的应用程序默认凭据 (ADC) 进行身份验证。以下是身份验证过程的每个步骤的工作原理:
此函数检索代码运行环境的 ADC。根据上下文,它可能会返回:
它还会返回关联的项目 ID(如果可用),尽管在本例中仅使用凭据。
这将创建一个 HTTP 请求对象,用于处理与身份验证相关的网络请求。它在内部使用 Python 的 requests 库,并提供标准化的方法来刷新凭据或请求访问令牌。
当使用 google.auth.default() 检索 ADC 时,凭证对象最初不包含访问令牌(至少在本地环境中)。 fresh() 方法显式获取访问令牌并将其附加到凭证对象,使其能够对 API 请求进行身份验证。
以下代码演示了如何验证此行为:
示例输出:
调用refresh()之前,token属性为None。调用刷新()后,凭证将填充有效的访问令牌及其到期时间。
Kubernetes 客户端是使用集群的 API 端点、CA 证书的临时文件和刷新的承载令牌进行配置的。这确保客户端可以安全地进行身份验证并与集群通信。
CA 证书临时存储并由客户端引用以进行安全 SSL 通信。通过这些设置,Kubernetes 客户端已完全配置并准备好与集群交互。
这是 kube-system 命名空间的 YAML 输出示例:
这种方法强调了使用相同代码与 Kubernetes API 交互的可移植性,无论是在本地运行还是在 Cloud Run 等 Google Cloud 服务上运行。通过利用应用程序默认凭证 (ADC),我们演示了一种灵活的方法来动态生成 Kubernetes API 客户端,而无需依赖预先生成的配置文件或外部工具。这使得构建能够无缝适应不同环境的应用程序变得容易,从而简化了开发和部署工作流程。
以上是使用 Python 为 Google Kubernetes Engine (GKE) 构建 Kubernetes 客户端的详细内容。更多信息请关注PHP中文网其他相关文章!
