這篇部落格文章介紹了一種使用 Python 為 GKE 建立 Kubernetes 客戶端的有效方法。透過利用 google-cloud-container、google-auth 和 kubernetes 庫,無論您的應用程式是在本地運行還是在 Google Cloud 上運行,您都可以使用相同的程式碼與 Kubernetes API 進行互動。這種靈活性來自於使用應用程式預設憑證(ADC)來驗證和動態建立 Kubernetes API 互動所需的請求,從而無需使用額外的工具或設定檔(如 kubeconfig)。
本地運行時,常見的方法是使用 gcloud 容器叢集 get-credentials 命令產生 kubeconfig 檔案並使用 kubectl 與 Kubernetes API 互動。雖然此工作流程對於本機設定來說是自然且有效的,但在 Cloud Run 或其他 Google Cloud 服務等環境中卻變得不太實用。
借助 ADC,您可以透過動態配置 Kubernetes 用戶端來簡化對 GKE 叢集的 Kubernetes API 的存取。這種方法可確保以一致、高效的方式連接到集群,而無需管理外部設定檔或安裝額外工具的開銷。
如果您在本地運行程式碼,只需使用以下命令進行身份驗證:
gcloud auth application-default login
這將使用您的使用者帳戶憑證作為應用程式預設憑證(ADC)。
如果您在 Cloud Run 等 Google Cloud 服務上執行程式碼,則無需手動處理驗證。只需確保服務具有正確配置的服務帳戶,並具有存取 GKE 叢集所需的權限。
運行腳本之前,請確保您了解以下詳細資訊:
以下是為 GKE 叢集設定 Kubernetes 用戶端的 Python 函數。
gcloud auth application-default login
get_k8s_client 函數首先使用 google-cloud-container 函式庫從 GKE 取得叢集詳細資訊。此程式庫與 GKE 服務交互,可讓您檢索叢集的 API 端點和憑證授權單位 (CA) 等資訊。這些詳細資訊對於配置 Kubernetes 客戶端至關重要。
from google.cloud import container_v1
import google.auth
import google.auth.transport.requests
from kubernetes import client as kubernetes_client
from tempfile import NamedTemporaryFile
import base64
import yaml
def get_k8s_client(project_id: str, location: str, cluster_id: str) -> kubernetes_client.CoreV1Api:
"""
Fetches a Kubernetes client for the specified GCP project, location, and cluster ID.
Args:
project_id (str): Google Cloud Project ID
location (str): Location of the cluster (e.g., "us-central1-a")
cluster_id (str): Name of the Kubernetes cluster
Returns:
kubernetes_client.CoreV1Api: Kubernetes CoreV1 API client
"""
# Retrieve cluster information
gke_cluster = container_v1.ClusterManagerClient().get_cluster(request={
"name": f"projects/{project_id}/locations/{location}/clusters/{cluster_id}"
})
# Obtain Google authentication credentials
creds, _ = google.auth.default()
auth_req = google.auth.transport.requests.Request()
# Refresh the token
creds.refresh(auth_req)
# Initialize the Kubernetes client configuration object
configuration = kubernetes_client.Configuration()
# Set the cluster endpoint
configuration.host = f'https://{gke_cluster.endpoint}'
# Write the cluster CA certificate to a temporary file
with NamedTemporaryFile(delete=False) as ca_cert:
ca_cert.write(base64.b64decode(gke_cluster.master_auth.cluster_ca_certificate))
configuration.ssl_ca_cert = ca_cert.name
# Set the authentication token
configuration.api_key_prefix['authorization'] = 'Bearer'
configuration.api_key['authorization'] = creds.token
# Create and return the Kubernetes CoreV1 API client
return kubernetes_client.CoreV1Api(kubernetes_client.ApiClient(configuration))
def main():
project_id = "your-project-id" # Google Cloud Project ID
location = "your-cluster-location" # Cluster region (e.g., "us-central1-a")
cluster_id = "your-cluster-id" # Cluster name
# Retrieve the Kubernetes client
core_v1_api = get_k8s_client(project_id, location, cluster_id)
# Fetch the kube-system Namespace
namespace = core_v1_api.read_namespace(name="kube-system")
# Output the Namespace resource in YAML format
yaml_output = yaml.dump(namespace.to_dict(), default_flow_style=False)
print(yaml_output)
if __name__ == "__main__":
main()
要注意的是,google-cloud-container 函式庫是為與 GKE 作為服務互動而設計的,而不是直接與 Kubernetes API 互動。例如,雖然您可以使用此程式庫檢索叢集資訊、升級叢集或設定維護策略(類似於使用 gcloud 容器叢集命令執行的操作),但您無法使用它直接取得 Kubernetes API 用戶端。這種差異就是為什麼該函數在從 GKE 獲取必要的叢集詳細資訊後單獨建置 Kubernetes 用戶端。
為了與 GKE 和 Kubernetes API 交互,該函數使用 Google Cloud 的應用程式預設憑證 (ADC) 進行身份驗證。以下是身份驗證過程的每個步驟的工作原理:
此函數會擷取程式碼運行環境的 ADC。根據上下文,它可能會返回:
它也會傳回關聯的項目 ID(如果可用),儘管在本例中僅使用憑證。
這將建立一個 HTTP 請求對象,用於處理與驗證相關的網路請求。它在內部使用 Python 的 requests 庫,並提供標準化的方法來刷新憑證或請求存取令牌。
當使用 google.auth.default() 擷取 ADC 時,憑證物件最初不包含存取權杖(至少在本機環境中)。 fresh() 方法明確取得存取權杖並將其附加到憑證對象,使其能夠對 API 請求進行身份驗證。
以下程式碼示範如何驗證此行為:
gke_cluster = container_v1.ClusterManagerClient().get_cluster(request={
"name": f"projects/{project_id}/locations/{location}/clusters/{cluster_id}"
})
範例輸出:
# Obtain Google authentication credentials
creds, _ = google.auth.default()
auth_req = google.auth.transport.requests.Request()
# Inspect credentials before refreshing
print(f"Access Token (before refresh()): {creds.token}")
print(f"Token Expiry (before refresh()): {creds.expiry}")
# Refresh the token
creds.refresh(auth_req)
# Inspect credentials after refreshing
print(f"Access Token (after): {creds.token}")
print(f"Token Expiry (after): {creds.expiry}")
在呼叫refresh()之前,token屬性為None。呼叫刷新()後,憑證將填入有效的存取權杖及其到期時間。
Kubernetes 用戶端是使用叢集的 API 端點、CA 憑證的暫存檔案和刷新的承載令牌進行設定的。這確保客戶端可以安全地進行身份驗證並與叢集通訊。
gcloud auth application-default login
CA 憑證暫時儲存並由客戶端引用以進行安全 SSL 通訊。透過這些設置,Kubernetes 用戶端已完全配置並準備好與叢集互動。
這是 kube-system 命名空間的 YAML 輸出範例:
from google.cloud import container_v1
import google.auth
import google.auth.transport.requests
from kubernetes import client as kubernetes_client
from tempfile import NamedTemporaryFile
import base64
import yaml
def get_k8s_client(project_id: str, location: str, cluster_id: str) -> kubernetes_client.CoreV1Api:
"""
Fetches a Kubernetes client for the specified GCP project, location, and cluster ID.
Args:
project_id (str): Google Cloud Project ID
location (str): Location of the cluster (e.g., "us-central1-a")
cluster_id (str): Name of the Kubernetes cluster
Returns:
kubernetes_client.CoreV1Api: Kubernetes CoreV1 API client
"""
# Retrieve cluster information
gke_cluster = container_v1.ClusterManagerClient().get_cluster(request={
"name": f"projects/{project_id}/locations/{location}/clusters/{cluster_id}"
})
# Obtain Google authentication credentials
creds, _ = google.auth.default()
auth_req = google.auth.transport.requests.Request()
# Refresh the token
creds.refresh(auth_req)
# Initialize the Kubernetes client configuration object
configuration = kubernetes_client.Configuration()
# Set the cluster endpoint
configuration.host = f'https://{gke_cluster.endpoint}'
# Write the cluster CA certificate to a temporary file
with NamedTemporaryFile(delete=False) as ca_cert:
ca_cert.write(base64.b64decode(gke_cluster.master_auth.cluster_ca_certificate))
configuration.ssl_ca_cert = ca_cert.name
# Set the authentication token
configuration.api_key_prefix['authorization'] = 'Bearer'
configuration.api_key['authorization'] = creds.token
# Create and return the Kubernetes CoreV1 API client
return kubernetes_client.CoreV1Api(kubernetes_client.ApiClient(configuration))
def main():
project_id = "your-project-id" # Google Cloud Project ID
location = "your-cluster-location" # Cluster region (e.g., "us-central1-a")
cluster_id = "your-cluster-id" # Cluster name
# Retrieve the Kubernetes client
core_v1_api = get_k8s_client(project_id, location, cluster_id)
# Fetch the kube-system Namespace
namespace = core_v1_api.read_namespace(name="kube-system")
# Output the Namespace resource in YAML format
yaml_output = yaml.dump(namespace.to_dict(), default_flow_style=False)
print(yaml_output)
if __name__ == "__main__":
main()
這種方法強調了使用相同程式碼與 Kubernetes API 互動的可移植性,無論是在本地運行還是在 Cloud Run 等 Google Cloud 服務上運行。透過利用應用程式預設憑證 (ADC),我們示範了一種靈活的方法來動態產生 Kubernetes API 用戶端,而無需依賴預先產生的設定檔或外部工具。這使得建立能夠無縫適應不同環境的應用程式變得容易,從而簡化了開發和部署工作流程。
以上是使用 Python 為 Google Kubernetes Engine (GKE) 建置 Kubernetes 用戶端的詳細內容。更多資訊請關注PHP中文網其他相關文章!
