使用 Python 为 Google Kubernetes Engine (GKE) 构建 Kubernetes 客户端

这篇博文介绍了一种使用 Python 为 GKE 创建 Kubernetes 客户端的有效方法。通过利用 google-cloud-container、google-auth 和 kubernetes 库，无论您的应用程序是在本地运行还是在 Google Cloud 上运行，您都可以使用相同的代码与 Kubernetes API 进行交互。这种灵活性来自于使用应用程序默认凭证（ADC）来验证和动态构建 Kubernetes API 交互所需的请求，从而无需使用额外的工具或配置文件（如 kubeconfig）。

本地运行时，常见的方法是使用 gcloud 容器集群 get-credentials 命令生成 kubeconfig 文件并使用 kubectl 与 Kubernetes API 交互。虽然此工作流程对于本地设置来说是自然且有效的，但在 Cloud Run 或其他 Google Cloud 服务等环境中却变得不太实用。

借助 ADC，您可以通过动态配置 Kubernetes 客户端来简化对 GKE 集群的 Kubernetes API 的访问。这种方法可确保以一致、高效的方式连接到集群，而无需管理外部配置文件或安装额外工具的开销。

---

先决条件

1. 使用 Google Cloud 进行身份验证

如果您在本地运行代码，只需使用以下命令进行身份验证：

这将使用您的用户帐户凭据作为应用程序默认凭据（ADC）。

如果您在 Cloud Run 等 Google Cloud 服务上运行代码，则无需手动处理身份验证。只需确保该服务具有正确配置的服务帐户，并具有访问 GKE 集群所需的权限。

---

2. 收集您的集群详细信息

运行脚本之前，请确保您了解以下详细信息：

• Google Cloud 项目 ID：托管 GKE 集群的项目的 ID。
• 集群位置：集群所在的区域或可用区（例如 us-central1-a）。
• 集群名称：您要连接的 Kubernetes 集群的名称。

---

脚本

下面是为 GKE 集群设置 Kubernetes 客户端的 Python 函数。

---

它是如何运作的

1. 连接GKE集群

get_k8s_client 函数首先使用 google-cloud-container 库从 GKE 获取集群详细信息。该库与 GKE 服务交互，允许您检索集群的 API 端点和证书颁发机构 (CA) 等信息。这些详细信息对于配置 Kubernetes 客户端至关重要。

需要注意的是，google-cloud-container 库是为与 GKE 作为服务交互而设计的，而不是直接与 Kubernetes API 交互。例如，虽然您可以使用此库检索集群信息、升级集群或配置维护策略（类似于使用 gcloud 容器集群命令执行的操作），但您无法使用它直接获取 Kubernetes API 客户端。这种区别就是为什么该函数在从 GKE 获取必要的集群详细信息后单独构建 Kubernetes 客户端。

---

2. 使用 Google Cloud 进行身份验证

为了与 GKE 和 Kubernetes API 交互，该函数使用 Google Cloud 的应用程序默认凭据 (ADC) 进行身份验证。以下是身份验证过程的每个步骤的工作原理：

google.auth.default()

此函数检索代码运行环境的 ADC。根据上下文，它可能会返回：

• 用户帐户凭据（例如，来自本地开发设置中的 gcloud auth 应用程序默认登录）。
• 服务帐户凭据（例如，在 Cloud Run 等 Google Cloud 环境中运行时）。

它还会返回关联的项目 ID（如果可用），尽管在本例中仅使用凭据。

google.auth.transport.requests.Request()

这将创建一个 HTTP 请求对象，用于处理与身份验证相关的网络请求。它在内部使用 Python 的 requests 库，并提供标准化的方法来刷新凭据或请求访问令牌。

creds.refresh(auth_req)

当使用 google.auth.default() 检索 ADC 时，凭证对象最初不包含访问令牌（至少在本地环境中）。 fresh() 方法显式获取访问令牌并将其附加到凭证对象，使其能够对 API 请求进行身份验证。

以下代码演示了如何验证此行为：

示例输出：

调用refresh()之前，token属性为None。调用刷新（）后，凭证将填充有效的访问令牌及其到期时间。

---

3.配置Kubernetes客户端

Kubernetes 客户端是使用集群的 API 端点、CA 证书的临时文件和刷新的承载令牌进行配置的。这确保客户端可以安全地进行身份验证并与集群通信。

CA 证书临时存储并由客户端引用以进行安全 SSL 通信。通过这些设置，Kubernetes 客户端已完全配置并准备好与集群交互。

---

示例输出

这是 kube-system 命名空间的 YAML 输出示例：

---

结论

这种方法强调了使用相同代码与 Kubernetes API 交互的可移植性，无论是在本地运行还是在 Cloud Run 等 Google Cloud 服务上运行。通过利用应用程序默认凭证 (ADC)，我们演示了一种灵活的方法来动态生成 Kubernetes API 客户端，而无需依赖预先生成的配置文件或外部工具。这使得构建能够无缝适应不同环境的应用程序变得容易，从而简化了开发和部署工作流程。

以上是使用 Python 为 Google Kubernetes Engine (GKE) 构建 Kubernetes 客户端的详细内容。更多信息请关注PHP中文网其他相关文章！