2. Kubernetes API详解

• 1. Kubernetes API概述
  • 1.1. 主要功能
  • 1.2. 资源对象和API
  • 1.3. HTTP REST格式
  • 1.4. API资源或域
  • 1.5. API文档官网
  • 1.6. 13版本以及以前: API server通过swagger提供API网页
  • 1.7. API的5个顶层(Top Level)元素
    • 1.7.1. Kind
    • 1.7.2. apiVersion
    • 1.7.3. Metadata
    • 1.7.4. spec
    • 1.7.5. Status
  • 1.8. 14版本以后: 使用OpenAPI格式查询API
• 2. Kubernetes API版本的演进策略
  • 2.1. 不同的API版本号表示不同级别
  • 2.2. API更新和废弃策略
• 3. API Groups(API组)
  • 3.1. 两类API Groups
  • 3.2. 启用或禁用特定的API组
• 4. API REST的方法说明
  • 4.1. 对资源对象的操作方法
  • 4.2. 三种类型的PATCH操作(修改资源详细域)
  • 4.3. 资源变动的观察者API
  • 4.4. 特殊的API接口
• 5. API Server响应说明

1. Kubernetes API概述

Kubernetes系统将一切事物都抽象为API资源，其遵循REST架构风格组织并管理这些资源及其对象，同时还支持通过标准的HTTP方法（POST、PUT、PATCH、DELETE和GET）对资源进行增、删、改、查等管理操作。

不过，在Kubernetes系统的语境中，“资源”用于表示“对象”的集合，例如，Pod资源可用于描述所有Pod类型的对象，但本书将不加区别地使用资源、对象和资源对象，并将它们统统理解为资源类型生成的实例—对象。

1.1. 主要功能

Kubernetes API是集群系统中的重要组成部分，

• Kubernetes中各种资源（对象！！！）的数据都通过该API接口！！！ 被提交到后端的持久化存储（etcd）中，
• Kubernetes集群中的各部件之间！！！ 通过该API接口实现解耦合！！！，
• 同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。

1.2. 资源对象和API

Kubernetes API中的资源对象都拥有通用的元数据！！！，资源对象也可能存在嵌套现象，比如在一个Pod里面嵌套多个Container。创建一个API对象是指通过API调用创建一条有意义的记录，该记录一旦被创建，Kubernetes就将确保对应的资源对象会被自动创建并托管维护。

1.3. HTTP REST格式

在Kubernetes系统中，在大多数情况下，API定义和实现都符合标准的HTTP REST格式，比如通过标准的HTTP动词（POST、PUT、GET、DELETE）来完成对相关资源对象的查询、创建、修改、删除等操作。但同时，Kubernetes也为某些非标准的REST行为实现了附加的API接口，例如Watch某个资源的变化、进入容器执行某个操作等。另外，某些API接口可能违背严格的REST模式，因为接口返回的不是单一的JSON对象，而是其他类型的数据，比如JSON对象流或非结构化的文本日志数据等。

1.4. API资源或域

Kubernetes开发人员认为，任何成功的系统都会经历一个不断成长和不断适应各种变更的过程。因此，他们期望Kubernetes API是不断变更和增长的。同时，他们在设计和开发时，有意识地兼容了已存在的客户需求。通常，我们不希望将新的API资源和新的资源域频繁地加入系统，资源或域的删除需要一个严格的审核流程。

1.5. API文档官网

Kubernetes API文档官网为 https://kubernetes.io/docs/reference ，可以通过相关链接查看不同版本的API文档，例如Kubernetes 1.14版本的链接为 https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.14 。

1.6. 13版本以及以前: API server通过swagger提供API网页

在Kubernetes 1.13版本及之前的版本中，Master的API Server服务提供了Swagger格式的API网页。

Swagger UI是一款REST API文档在线自动生成和功能测试软件，关于Swagger的内容请访问官网 http://swagger.io 。

我们通过设置kube-apiserver服务的启动参数--enable-swagger-ui=true来启用Swagger UI页面，其访问地址为 http://:/swagger-ui/ 。

假设API Server启动了192.168.18.3服务器上的8080端口，则可以通过访问 http://192.168.18.3:8080/swagger-ui/ 来查看API列表，如图9.1所示。

单击 api/v1 可以查看所有API的列表，如图9.2所示。

以创建一个Pod为例，找到Rest API的访问路径为“ /api/v1/namespaces/{namespace}/pods ”，如图9.3所示。

单击链接展开，即可查看详细的API接口说明，如图9.4所示。

单击Model链接，则可以查看文本格式显示的API接口描述，如图9.5所示。

1.7. API的5个顶层(Top Level)元素

我们看到，在Kubernetes API中，一个API的顶层（Top Level）元素由kind、apiVersion、metadata、spec和status这5部分！！！ 组成，接下来分别对这5部分进行说明。

1.7.1. Kind

kind表明对象有以下三大类别。

（1）对象（objects）：代表系统中的一个永久资源（实体），例如Pod、RC、Service、Namespace及Node等。通过操作这些资源的属性，客户端可以对该对象进行创建、修改、删除和获取操作。

（2）列表（list）：一个或多个资源类别的集合。所有列表都通过items域获得对象数组，例如PodLists、ServiceLists、NodeLists。大部分被定义在系统中的对象都有一个返回所有资源集合的端点，以及零到多个返回所有资源集合的子集的端点。某些对象有可能是单例对象（singletons），例如当前用户、系统默认用户等，这些对象没有列表。

（3）简单类别（simple）：该类别包含作用在对象上的特殊行为和非持久实体。该类别限制了使用范围，它有一个通用元数据的有限集合，例如Binding、Status。

1.7.2. apiVersion

apiVersion表明API的版本号，当前版本默认只支持v1。

1.7.3. Metadata

Metadata是资源对象的元数据定义，是集合类的元素类型，包含一组由不同名称定义的属性。在Kubernetes中每个资源对象都必须包含以下3种Metadata。

（1）namespace：对象所属的命名空间，如果不指定，系统则会将对象置于名为default的系统命名空间中。

（2）name：对象的名称，在一个命名空间中名称应具备唯一性。

（3）uid：系统为每个对象都生成的唯一ID，符合RFC 4122规范的定义。

此外，每种对象都还应该包含以下几个重要元数据。

（1）labels：用户可定义的“标签”，键和值都为字符串的map，是对象进行组织和分类的一种手段，通常用于标签选择器，用来匹配目标对象。

（2）annotations：用户可定义的“注解”，键和值都为字符串的map，被Kubernetes内部进程或者某些外部工具使用，用于存储和获取关于该对象的特定元数据。

（3）resourceVersion：用于识别该资源内部版本号的字符串，在用于Watch操作时，可以避免在GET操作和下一次Watch操作之间造成的信息不一致，客户端可以用它来判断资源是否改变。该值应该被客户端看作不透明，且不做任何修改就返回给服务端。客户端不应该假定版本信息具有跨命名空间、跨不同资源类别、跨不同服务器的含义。

（4）creationTimestamp：系统记录创建对象时的时间戳，符合RFC 3339规范。

（5）deletionTimestamp：系统记录删除对象时的时间戳，符合RFC 3339规范。

（6）selfLink：通过API访问资源自身的URL，例如一个Pod的link可能是“/api/v1/namespaces/default/pods/frontend-o8bg4”。

1.7.4. spec

spec是集合类的元素类型，用户对需要管理的对象进行详细描述的主体部分都在spec里给出，它会被Kubernetes持久化到etcd中保存，系统通过spec的描述来创建或更新对象，以达到用户期望的对象运行状态。spec的内容既包括用户提供的配置设置、默认值、属性的初始化值，也包括在对象创建过程中由其他相关组件（例如schedulers、auto-scalers）创建或修改的对象属性，比如Pod的Service IP地址。如果spec被删除，那么该对象将会从系统中删除。

1.7.5. Status

Status用于记录对象在系统中的当前状态信息，它也是集合类元素类型，status在一个自动处理的进程中被持久化，可以在流转的过程中生成。如果观察到一个资源丢失了它的状态（Status），则该丢失的状态可能被重新构造。以Pod为例，Pod的status信息主要包括conditions、containerStatuses、hostIP、phase、podIP、startTime等，其中比较重要的两个状态属性如下。

（1）phase：描述对象所处的生命周期阶段，phase的典型值是Pending（创建中）、Running、Active（正在运行中）或Terminated（已终结），这几种状态对于不同的对象可能有轻微的差别，此外，关于当前phase附加的详细说明可能包含在其他域中。

（2）condition：表示条件，由条件类型和状态值组成，目前仅有一种条件类型：Ready，对应的状态值可以为True、False或Unknown。一个对象可以具备多种condition，而condition的状态值也可能不断发生变化，condition可能附带一些信息，例如最后的探测时间或最后的转变时间。

1.8. 14版本以后: 使用OpenAPI格式查询API

Kubernetes从1.14版本开始，使用OpenAPI（https://www.openapis.org）的格式**对API进行查询！！！**，其访问地址为 http://: /openapi/v2。

例如，使用命令行工具curl进行查询：

# curl http://192.168.18.3:8080/openapi/v2 | jq

2. Kubernetes API版本的演进策略

为了在兼容旧版本的同时不断升级新的API，Kubernetes提供了多版本API的支持能力，每个版本的API都通过一个版本号路径前缀！！！ 进行区分，例如/api/v1beta3。在通常情况下，新旧几个不同的API版本都能涵盖所有的Kubernetes资源对象，在不同的版本之间，这些API接口存在一些细微差别。

Kubernetes开发团队基于API级别！！！ 选择版本而不是基于资源和域级别，是为了确保API能够清晰、连续地描述一个系统资源和行为的视图，能够控制访问的整个过程和控制实验性API的访问。

2.1. 不同的API版本号表示不同级别

API的版本号通常用于描述API的成熟阶段，例如：

• v1表示GA稳定版本；
• v1beta3表示Beta版本（预发布版本）；
• v1alpha1表示Alpha版本（实验性的版本）。

2.2. API更新和废弃策略

当某个API的实现达到一个新的GA稳定版本时（如v2！！！），旧的GA版本（如v1！！！）和Beta版本（例如v2beta1）将逐渐被废弃，Kubernetes建议废弃的时间如下。

• 对于旧的GA版本（如v1），Kubernetes建议废弃的时间应不少于12个月或3个大版本Release的时间，选择最长的时间。
• 对旧的Beta版本（如v2beta1），Kubernetes建议废弃的时间应不少于9个月或3个大版本Release的时间，选择最长的时间。
• 对旧的Alpha版本，则无须等待，可以直接废弃。

完整的API更新和废弃策略请参考官方网站 https://kubernetes.io/docs/reference/usingapi/deprecation-policy/ 的说明。

3. API Groups(API组)

为了更容易对API进行扩展，Kubernetes使用API Groups（API组）进行标识！！！。API Groups以REST URL中的路径进行定义。

3.1. 两类API Groups

当前支持两类API groups。

• Core Groups（核心组），也可以称之为Legacy Groups，作为Kubernetes最核心的API，其特点是没有“组”的概念，例如“v1”，在资源对象的定义中表示为“apiVersion:v1”。
• 具有分组信息的API，以/apis/$GROUP_NAME/$VERSION URL路径进行标识，在资源对象的定义中表示为“apiVersion: $GROUP_NAME/$VERSION”，例如：“apiVersion:batch/v1”“apiVersion:extensions:v1beta1”“apiVersion:apps/v1beta1”等，详细的API列表请参见官网 https://kubernetes.io/docs/reference ，目前根据Kubernetes的不同版本有不同的API说明页面。

例如，Pod的API说明如图9.6所示，由于Pod属于核心资源对象，所以不存在某个扩展API Group，页面显示为Core，在Pod的定义中为“apiVersion: v1”。

StatefulSet则属于名为apps的API组，版本号为v1，在StatefulSet的定义中为“apiVersion: apps/v1”，如图9.7所示。

3.2. 启用或禁用特定的API组

如果要启用或禁用特定的API组，则需要在API Server的启动参数中设置--runtime-config进行声明.

例如，

• --runtime-config=batch/v2alpha1表示启用API组“batch/v2alpha1”；
• 也可以设置--runtime-config=batch/v1=false表示禁用API组“batch/v1”。

多个API组的设置以逗号分隔。

在当前的API Server服务中，DaemonSets、Deployments、HorizontalPodAutoscalers、Ingress、Jobs和ReplicaSets所属的API组是默认启用的。

4. API REST的方法说明

4.1. 对资源对象的操作方法

API资源使用REST模式，对资源对象的操作方法如下。

（1）GET /<资源名的复数格式>：获得某一类型的资源列表，例如GET /pods返回一个Pod资源列表。

（2）POST /<资源名的复数格式>：创建一个资源，该资源来自用户提供的JSON对象。

（3）GET /<资源名复数格式>/<名称>：通过给出的名称获得单个资源，例如GET/pods/first返回一个名为first的Pod。

（4）DELETE /<资源名复数格式>/<名称>：通过给出的名称删除单个资源，在删除选项（DeleteOptions）中可以指定优雅删除（Grace Deletion）的时间（GracePeriodSeconds），该选项表明了从服务端接收到删除请求到资源被删除的时间间隔（单位为s）。不同的类别（Kind）可能为优雅删除时间（Grace Period）声明默认值。用户提交的优雅删除时间将覆盖该默认值，包括值为0的优雅删除时间。

（5）PUT /<资源名复数格式>/<名称>：通过给出的资源名和客户端提供的JSON对象来更新或创建资源。

（6）PATCH /<资源名复数格式>/<名称>：选择修改资源详细指定的域。

对于PATCH操作，目前Kubernetes API通过相应的HTTP首部“Content-Type”对其进行识别。

4.2. 三种类型的PATCH操作(修改资源详细域)

目前支持以下三种类型的PATCH操作。

（1）JSON Patch, Content-Type: application/json-patch + json。在RFC6902的定义中，JSON Patch是执行在资源对象上的一系列操作，例如 {"op": "add", "path": "/a/b/c", "value": ["foo","bar"]}。详情请查看RFC6902说明，网址为 https://tools.ietf.org/html/rfc6902 。

（2）Merge Patch, Content-Type: application/merge-json-patch + json。在RFC7386的定义中，Merge Patch必须包含对一个资源对象的部分描述，这个资源对象的部分描述就是一个JSON对象。该JSON对象被提交到服务端，并和服务端的当前对象合并，从而创建一个新的对象。详情请查看RFC73862说明，网址为 https://tools.ietf.org/html/rfc7386 。

（3）Strategic Merge Patch, Content-Type: application/strategic-merge-patch + json。Strategic Merge Patch是一个定制化的Merge Patch实现。接下来将详细讲解Strategic Merge Patch。

在标准的JSON Merge Patch中，JSON对象总被合并（Merge），但是资源对象中的列表域总被替换，用户通常不希望如此。例如，我们通过下列定义创建一个Pod资源对象：

spec:
  containers:
    - name: nginx
      image: nginx-1.0

接着，我们希望添加一个容器到这个Pod中，代码和上传的JSON对象如下：

PATCH /api/v1/namespaces/default/pods/pod-name
spec:
  containers:
    - name: log-tailer
      image: log-tailer-1.0

如果我们使用标准的Merge Patch，则其中的整个容器列表将被单个“log-tailer”容器所替换，然而我们的目的是使两个容器列表合并。

为了解决这个问题，Strategic Merge Patch添加元数据到API对象中，并通过这些新元数据来决定哪个列表被合并，哪个列表不被合并。当前这些元数据作为结构标签，对于API对象自身来说是合法的。对于客户端来说，这些元数据作为Swagger annotations也是合法的。在上述例子中向containers中添加了patchStrategy域，且它的值为merge，通过添加patchMergeKey，它的值为name。也就是说，containers中的列表将会被合并而不是替换，合并的依据为name域的值。

4.3. 资源变动的观察者API

此外，Kubernetes API添加了资源变动的观察者模式的API接口。

• GET /watch/<资源名复数格式>：随时间变化，不断接收一连串的JSON对象，这些JSON对象记录了给定资源类别内所有资源对象的变化情况。
• GET /watch/<资源名复数格式>/：随时间变化，不断接收一连串的JSON对象，这些JSON对象记录了某个给定资源对象的变化情况。

上述接口改变了返回数据的基本类别，watch动词返回的是一连串JSON对象，而不是单个JSON对象。并不是所有对象类别都支持观察者模式的API接口，在后续的章节中将会说明哪些资源对象支持这种接口。

4.4. 特殊的API接口

另外，Kubernetes还增加了HTTP Redirect与HTTP Proxy这两种特殊的API接口，前者实现资源重定向访问，后者则实现HTTP请求的代理。

5. API Server响应说明

API Server在响应用户请求时附带一个状态码，该状态码符合HTTP规范。表9.1列出了API Server可能返回的状态码。

在调用API接口发生错误时，Kubernetes将会返回一个状态类别（Status Kind）。下面是两种常见的错误场景。

（1）当一个操作不成功时（例如，当服务端返回一个非2xx HTTP状态码时）。

（2）当一个HTTP DELETE方法调用失败时。

状态对象被编码成JSON格式，同时该JSON对象被作为请求的响应体。该状态对象包含人和机器使用的域，在这些域中包含来自API的关于失败原因的详细信息。状态对象中的信息补充了对HTTP状态码的说明。例如：

其中：

• status域包含两个可能的值：Success或Failure。
• message域包含对错误的描述信息。
• reason域包含说明该操作失败原因的描述。
• details可能包含和reason域相关的扩展数据。每个reason域都可以定义它的扩展的details域。该域是可选的，返回数据的格式是不确定的，不同的reason类型返回的details域的内容不一样。