Kubernetes1.5源碼分析(一) apiServer啓動分析

源碼版本

Kubernetes v1.5.0node

簡介

apiserver是K8S最重要的組成部分,不管是命令操做仍是經過remote API進行控制,實際都須要通過apiserver。
apiserver是k8s系統中全部對象的增刪改查盯的http/restful式服務端,其中盯是指watch操做。數據最終存儲在分佈式一致的etcd存儲內,apiserver自己是無狀態的,提供了這些數據訪問的認證鑑權、緩存、api版本適配轉換等一系列的功能。web

關鍵結構:

ServerRunOptions結構:
路徑: cmd/kube-apiserver/app/options/options.gojson

type ServerRunOptions struct {
    // 重名,下面稱爲GenericServerRunOptions
    GenericServerRunOptions     *genericoptions.ServerRunOptions    // 服務器通用的運行參數
    AllowPrivileged             bool  // 是否配置超級權限,即容許Pod中運行的容器擁有系統特權
    EventTTL                    time.Duration  // 事件留存事件, 默認1h
    KubeletConfig               kubeletclient.KubeletClientConfig  // K8S kubelet配置
    MaxConnectionBytesPerSec    int64    // 每秒的最大鏈接數
    // 指定的話,能夠經過SSH指定的祕鑰文件和用戶名對Node進行訪問
    SSHKeyfile                  string
    SSHUser                     string
    // 包含PEM-encoded x509 RSA公鑰和私鑰的文件路徑,用於驗證Service Account的token
    // 不指定的話,則使用--tls-private-key-file指定的文件
    ServiceAccountKeyFile       string
    // 設置爲true時,系統會到etcd驗證ServiceAccount token是否存在
    ServiceAccountLookup        bool
    WebhookTokenAuthnConfigFile string
    WebhookTokenAuthnCacheTTL   time.Duration
}

ServerRunOptions結構:
路徑: pkg/genericapiserver/options/server_run_options.go後端

type ServerRunOptions struct {
    // 准入控制,如:"AlwaysAdmit","LimitRanger","ReousrceQuota"等
    AdmissionControl           string      
    // 准入控制的配置文件
    AdmissionControlConfigFile string      
    // 用於廣播給集羣的全部成員本身的IP地址,不指定的話就使用"--bind-address"的IP地址
    AdvertiseAddress           net.IP    
    // 安全訪問的認證模式列表,以逗號分隔,包括:AlwaysAllow、AlwaysDeny、ABAC、Webhook、RBAC
    AuthorizationMode                        string
    // mode設置爲ABAC時使用的csv格式的受權配置文件
    AuthorizationPolicyFile                  string
    // 下列跟mode配置成webhook有關
    AuthorizationWebhookConfigFile           string
    AuthorizationWebhookCacheAuthorizedTTL   time.Duration
    AuthorizationWebhookCacheUnauthorizedTTL time.Duration
    // mode設置爲RBAC時使用的超級用戶名,用該用戶名進行RBAC認證
    AuthorizationRBACSuperUser               string

    AnonymousAuth                bool
    // 使用http基本認證的方式訪問API Server的安全端口
    BasicAuthFile                string
    // 默認"0.0.0.0",apiServer在該地址的6443端口上開啓https服務
    BindAddress                  net.IP
    // TLS證書所在目錄,默認"/var/run/kubernetes"
    CertDirectory                string
    // 指定的話,該客戶端證書將用於認證過程
    ClientCAFile                 string
    // 下列的雲服務商有關
    CloudConfigFile              string
    CloudProvider                string
    // CORS 跨域資源共享
    CorsAllowedOriginList        []string
    // 默認的持久化存儲格式,好比"application/json"
    DefaultStorageMediaType      string
    // 指定清理的工做線程數,能夠提升清理namespace的效率,可是會增長系統資源的佔用
    DeleteCollectionWorkers      int
    // 日誌相關策略
    AuditLogPath                 string
    AuditLogMaxAge               int
    AuditLogMaxBackups           int
    AuditLogMaxSize              int
    // 使能GC
    EnableGarbageCollection      bool
    // 打開性能分析,能夠經過<host>:<port>/debug/pprof/地址來查看程序棧,線程等信息
    EnableProfiling              bool
    EnableContentionProfiling    bool
    // 使能swaggerUI,訪問地址<host>:<port>/swagger-ui
    EnableSwaggerUI              bool
    // 使能watch cache,對全部的watch操做進行緩存
    EnableWatchCache             bool
    // 按資源覆蓋etcd服務的設置,以逗號分隔,好比group/resource#servers,其中servers爲: http://ip:port
    EtcdServersOverrides         []string
    StorageConfig                storagebackend.Config
    // 用於生成該master對外的URL地址
    ExternalHost                 string
    // 綁定的不安全地址,即8080端口綁定的地址
    InsecureBindAddress          net.IP
    // 非安全端口,默認8080
    InsecurePort                 int
    // 設置keystone鑑權插件地址
    KeystoneURL                  string
    KeystoneCAFile               string
    
    KubernetesServiceNodePort    int
    LongRunningRequestRE         string
    // master數量
    MasterCount                  int
    // 設置master服務所在的namespace,默認爲default
    MasterServiceNamespace       string
    // 同時處理的最大請求數,默認爲400,超過該請求數將被拒絕。僅用於長時間執行的請求
    MaxRequestsInFlight          int
    // 最小請求處理超時時間,默認1800s,僅用於watch request
    MinRequestTimeout            int
    // 該文件內設置鑑權機構
    OIDCCAFile                   string
    OIDCClientID                 string
    OIDCIssuerURL                string
    OIDCUsernameClaim            string
    OIDCGroupsClaim              string
    RequestHeaderUsernameHeaders []string
    RequestHeaderClientCAFile    string
    RequestHeaderAllowedNames    []string
    // 一組key=value用於運行時的配置信息。api/<groupVersion>/<resource>,用於打開或者關閉對某個API版本的支持
    // api/all和api/legacy特別用於支持全部版本的API或支持舊版本的API
    RuntimeConfig                config.ConfigurationMap
    // https安全端口,默認6443;設置爲0,表示不開啓https
    SecurePort                   int
    // service的Cluster IP池
    ServiceClusterIPRange        net.IPNet // TODO: make this a list
    // service的NodePort模式下能使用的主機端口號範圍,默認是30000--32767
    ServiceNodePortRange         utilnet.PortRange
    // 持久化存儲的資源版本號,例如"group1/version1,group2/version2,..."
    StorageVersions              string
    // The default values for StorageVersions. StorageVersions overrides
    // these; you can change this if you want to change the defaults (e.g.,
    // for testing). This is not actually exposed as a flag.
    DefaultStorageVersions string
    TargetRAMMB            int
    // TLS CA文件
    TLSCAFile              string
    // 包含x509證書的文件路徑,用於https認證
    TLSCertFile            string
    // 包含x509與tls-cert-file對應的私鑰文件路徑
    TLSPrivateKeyFile      string
    SNICertKeys            []config.NamedCertKey
    // 用於訪問APIServer安全端口的token認證文件路徑
    TokenAuthFile          string
    // 使能token
    EnableAnyToken         bool
    // 設置各資源對象watch緩存大小的列表,以逗號分隔,格式爲resource#size
    // 前提是EnableWatchCache爲true
    WatchCacheSizes        []string
}

ApiServer啓動

路徑:kubernetes/cmd/kube-apiserver/apiserver.go
入口main()函數: api

func main() {
    rand.Seed(time.Now().UTC().UnixNano())

    // 新建一個apiserver對象
    s := options.NewServerRunOptions()
    // 接受用戶命令行輸入,其實就是自定義上述apiserver對象 
    s.AddFlags(pflag.CommandLine)
    // 解析並格式化用戶傳入的參數,最後填充APIServer結構體的各成員
    flag.InitFlags()
    // 初始化log配置,包括log輸出位置、log等級等。
    logs.InitLogs()
    // 保證了即便apiserver異常崩潰了也能將內存中的log信息保存到磁盤文件中。 
    defer logs.FlushLogs()
    // 若是用戶只是想看apiserver的版本號而不是啓動apiserver,則打印apiserver的版本號並退出。
    verflag.PrintAndExitIfRequested()

    // 將建立的apiserver對象傳入app.Run()中,最終綁定本地端口並綁定本地端口並建立一個HTTP Server與一個HTTPS Server。
    if err := app.Run(s); err != nil {
        fmt.Fprintf(os.Stderr, "%v\n", err)
        os.Exit(1)
    }
}

新建一個apiserver對象---NewServerRunOptions():跨域

func NewServerRunOptions() *ServerRunOptions {
    s := ServerRunOptions{
        // 初始化通用的apiserver運行參數,包括etcd後端存儲參數
        GenericServerRunOptions: genericoptions.NewServerRunOptions().WithEtcdOptions(),
        // 事件的存儲保留時間
        EventTTL:                1 * time.Hour,
        // Node上kubelet的客戶端配置
        KubeletConfig: kubeletclient.KubeletClientConfig{
            // kubelet通訊端口
            Port: ports.KubeletPort,
            PreferredAddressTypes: []string{
                string(api.NodeHostName),
                string(api.NodeInternalIP),
                string(api.NodeExternalIP),
                string(api.NodeLegacyHostIP),
            },
            // 是否開啓https
            EnableHttps: true,
            // HTTP超時
            HTTPTimeout: time.Duration(5) * time.Second,
        },
        // 將webhook token authenticator返回的響應保存在緩存內的時間
        WebhookTokenAuthnCacheTTL: 2 * time.Minute,
    }
    return &s
}

上面的接口在初始化GenericServerRunOptions參數時又調用了genericoptions.NewServerRunOptions().WithEtcdOptions()接口,先來看下與上面接口名字同樣的NewServerRunOptions():緩存

func NewServerRunOptions() *ServerRunOptions {
    return &ServerRunOptions{
        // 以逗號做爲分隔符的Admission Control插件的排序列表
        AdmissionControl:                         "AlwaysAdmit",
        AnonymousAuth:                            false,
        // 受權模式
        AuthorizationMode:                        "AlwaysAllow",
        AuthorizationWebhookCacheAuthorizedTTL:   5 * time.Minute,
        AuthorizationWebhookCacheUnauthorizedTTL: 30 * time.Second,
        // apiserver綁定的網卡地址
        BindAddress:                              net.ParseIP("0.0.0.0"),
        // 證書目錄
        CertDirectory:                            "/var/run/kubernetes",
        // 默認的對象存儲類型
        DefaultStorageMediaType:                  "application/json",
        DefaultStorageVersions:                   registered.AllPreferredGroupVersions(),
        DeleteCollectionWorkers:                  1,
        EnableGarbageCollection:                  true,
        EnableProfiling:                          true,
        EnableContentionProfiling:                false,
        EnableWatchCache:                         true,
        // HTTP綁定的IP地址
        InsecureBindAddress:                      net.ParseIP("127.0.0.1"),
        // 不安全端口(HTTP)
        InsecurePort:                             8080,
        LongRunningRequestRE:                     DefaultLongRunningRequestRE,
        // Kubernetes系統中Master的數量
        MasterCount:                              1,
        MasterServiceNamespace:                   api.NamespaceDefault,
        MaxRequestsInFlight:                      400,
        MinRequestTimeout:                        1800,
        // k8s運行時環境配置
        RuntimeConfig:                            make(config.ConfigurationMap),
        // 安全端口
        SecurePort:                               6443,
        ServiceNodePortRange:                     DefaultServiceNodePortRange,
        StorageVersions:                          registered.AllPreferredGroupVersions(),
    }
}

能夠看到初始化的時候會有SecurePort、InsecurePort,實際就是對應HTTP、HTTPS的綁定端口。
咱們能夠看到這裏的控制仍是很全面的,包括安全控制(CertDirectory, HTTPS默認啓動)、權限控制(AdmissionControl,AuthorizationMode)、服務限流控制(MaxRequestsInFlight)等。
具體的參數前面介紹結構體時基本都有提到。
繼續後端存儲etcd的配置初始化WithEtcdOptions():安全

func (o *ServerRunOptions) WithEtcdOptions() *ServerRunOptions {
    o.StorageConfig = storagebackend.Config{
        // etcd的默認路徑前綴:/registry
        Prefix: DefaultEtcdPathPrefix,
        // 反序列化cache,未設置的話,會根據apiServer的內存限制進行配置
        DeserializationCacheSize: 0,
    }
    return o
}

到這裏apiServer的運行參數初始化關鍵性步驟基本結束,至於後面的s.AddFlags(pflag.CommandLine)就是獲取命令行的輸入信息,而後進行從新覆蓋,這裏就不講了。
能夠根據kube-apiserver進程的命令行信息,把命令行傳參和結構配置進行對應:服務器

#/usr/bin/kube-apiserver --logtostderr=true --v=0 --etcd-servers=http://test-master:2379 --insecure-bind-address=0.0.0.0 --port=8080 --kubelet-port=10250 --allow-privileged=false --service-cluster-ip-range=10.254.0.0/16 --admission-control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota --service-account-key-file=/var/run/kubernetes/apiserver.key

初始化完成以後,最重要的任務就是啓動實例了。
全部的操做都是在run函數中執行,app.run()接口實如今cmd/kube-apiserver/app/server.go。
RUN源碼分析:restful

func Run(s *options.ServerRunOptions) error {
    // 檢查etcd後端存儲相關參數的有效性
    genericvalidation.VerifyEtcdServersList(s.GenericServerRunOptions)
    // 檢查一些運行參數的有效性,並會設置一些默認值
    // 好比options.AdvertiseAddress參數沒有設置,而且bind-address也沒有設置,
    // k8s將會獲取默認網卡的地址給該成員
    genericapiserver.DefaultAndValidateRunOptions(s.GenericServerRunOptions)
    // 根據以前初始化的GenericServerRunOptions對象來初始化建立genericapiserver.config
    // NewConfig()是初始化了一個默認的config,
    // ApplyOptions()根據GenericServerRunOptions進行再一遍的初始化
    // Complete()對一些沒填充的字段,能夠根據別的字段進行初始化
    // 實際NewConfig()中也調用了ApplyOptions()接口,只是參數是default值
    genericConfig := genericapiserver.NewConfig(). // create the new config
                            ApplyOptions(s.GenericServerRunOptions).
                            Complete()

    // 根據ServiceClusterIPRange輸入參數,獲取IPRange和ServiceIP
    serviceIPRange, apiServerServiceIP, err := genericapiserver.DefaultServiceIPRange(s.GenericServerRunOptions.ServiceClusterIPRange)
    if err != nil {TargetRAMMB
        glog.Fatalf("Error determining service IP ranges: %v", err)
    }
    // 有須要的話生成證書
    if err := genericConfig.MaybeGenerateServingCerts(apiServerServiceIP); err != nil {
        glog.Fatalf("Failed to generate service certificate: %v", err)
    }
    
    // 初始化能力集,屢次運行apiserver也只會初始化一次
    capabilities.Initialize(capabilities.Capabilities{
        // 是否有超級權限
        AllowPrivileged: s.AllowPrivileged,
        // TODO(vmarmol): Implement support for HostNetworkSources.
        PrivilegedSources: capabilities.PrivilegedSources{
            HostNetworkSources: []string{},
            HostPIDSources:     []string{},
            HostIPCSources:     []string{},
        },
        // 每一個用戶鏈接的最大值,字節數/秒。當前只適用於長時間運行的請求
        PerConnectionBandwidthLimitBytesPerSec: s.MaxConnectionBytesPerSec,
    })

    // 有須要的話設置網絡隧道
    var tunneler genericapiserver.Tunneler
    var proxyDialerFn apiserver.ProxyDialerFunc
    // 若是運行在雲平臺中,則須要安裝本機的SSH Key到Kubernetes集羣中全部節點上
    // 能夠用於經過該用戶名和私鑰,SSH到node上
    if len(s.SSHUser) > 0 {
        // Get ssh key distribution func, if supported
        var installSSH genericapiserver.InstallSSHKey
        cloud, err := cloudprovider.InitCloudProvider(s.GenericServerRunOptions.CloudProvider, s.GenericServerRunOptions.CloudConfigFile)
        if err != nil {
            glog.Fatalf("Cloud provider could not be initialized: %v", err)
        }
        if cloud != nil {
            if instances, supported := cloud.Instances(); supported {
                installSSH = instances.AddSSHKeyToAllInstances
            }
        }
        if s.KubeletConfig.Port == 0 {
            glog.Fatalf("Must enable kubelet port if proxy ssh-tunneling is specified.")
        }
        // Set up the tunneler
        // TODO(cjcullen): If we want this to handle per-kubelet ports or other
        // kubelet listen-addresses, we need to plumb through options.
        healthCheckPath := &url.URL{
            Scheme: "https",
            Host:   net.JoinHostPort("127.0.0.1", strconv.FormatUint(uint64(s.KubeletConfig.Port), 10)),
            Path:   "healthz",
        }
        tunneler = genericapiserver.NewSSHTunneler(s.SSHUser, s.SSHKeyfile, healthCheckPath, installSSH)

        // Use the tunneler's dialer to connect to the kubelet
        s.KubeletConfig.Dial = tunneler.Dial
        // Use the tunneler's dialer when proxying to pods, services, and nodes
        proxyDialerFn = tunneler.Dial
    }

    // Proxying to pods and services is IP-based... don't expect to be able to verify the hostname
    proxyTLSClientConfig := &tls.Config{InsecureSkipVerify: true}

    // 後端存儲etcd的反序列化緩存沒有設置的話,根據TargetRAMMB值進行恰當的設置
    // TargetRAMMB:用戶手動輸入的apiServer的內存限制(單位:MB)
    // 小於1000MB的話按1000MB算
    if s.GenericServerRunOptions.StorageConfig.DeserializationCacheSize == 0 {
        glog.V(2).Infof("Initalizing deserialization cache size based on %dMB limit", s.GenericServerRunOptions.TargetRAMMB)

        clusterSize := s.GenericServerRunOptions.TargetRAMMB / 60
        s.GenericServerRunOptions.StorageConfig.DeserializationCacheSize = 25 * clusterSize
        if s.GenericServerRunOptions.StorageConfig.DeserializationCacheSize < 1000 {
            s.GenericServerRunOptions.StorageConfig.DeserializationCacheSize = 1000
        }
    }
    // 存儲組版本
    storageGroupsToEncodingVersion, err := s.GenericServerRunOptions.StorageGroupsToEncodingVersion()
    if err != nil {
        glog.Fatalf("error generating storage version map: %s", err)
    }
    // 建立api工廠,包括請求頭、解析工具、編碼格式、API配置
    // 建立了一個DefaultStorageFactory對象
    storageFactory, err := genericapiserver.BuildDefaultStorageFactory(
        s.GenericServerRunOptions.StorageConfig, s.GenericServerRunOptions.DefaultStorageMediaType, api.Codecs,
        genericapiserver.NewDefaultResourceEncodingConfig(), storageGroupsToEncodingVersion,
        // FIXME: this GroupVersionResource override should be configurable
        []unversioned.GroupVersionResource{batch.Resource("cronjobs").WithVersion("v2alpha1")},
        master.DefaultAPIResourceConfigSource(), s.GenericServerRunOptions.RuntimeConfig)
    if err != nil {
        glog.Fatalf("error in initializing storage factory: %s", err)
    }
    // 添加jobs和HPA(水平自動擴容)的接口
    storageFactory.AddCohabitatingResources(batch.Resource("jobs"), extensions.Resource("jobs"))
    storageFactory.AddCohabitatingResources(autoscaling.Resource("horizontalpodautoscalers"), extensions.Resource("horizontalpodautoscalers"))
    // 根據用戶輸入的etcd-servers-overrides參數,設置對應groupResource對應的etcd地址
    for _, override := range s.GenericServerRunOptions.EtcdServersOverrides {
        tokens := strings.Split(override, "#")
        if len(tokens) != 2 {
            glog.Errorf("invalid value of etcd server overrides: %s", override)
            continue
        }

        apiresource := strings.Split(tokens[0], "/")
        if len(apiresource) != 2 {
            glog.Errorf("invalid resource definition: %s", tokens[0])
            continue
        }
        group := apiresource[0]
        resource := apiresource[1]
        groupResource := unversioned.GroupResource{Group: group, Resource: resource}

        servers := strings.Split(tokens[1], ";")
        // 上面都是解析用戶輸入的字符串,並生成對應的groupResource
        // 設置對應groupResource的etcdLocation
        storageFactory.SetEtcdLocation(groupResource, servers)
    }

    // 受權認證有關
    if len(s.ServiceAccountKeyFiles) == 0 && s.GenericServerRunOptions.TLSPrivateKeyFile != "" {
        if authenticator.IsValidServiceAccountKeyFile(s.GenericServerRunOptions.TLSPrivateKeyFile) {
            s.ServiceAccountKeyFiles = []string{s.GenericServerRunOptions.TLSPrivateKeyFile}
        } else {
            glog.Warning("No TLS key provided, service account token authentication disabled")
        }
    }

    var serviceAccountGetter serviceaccount.ServiceAccountTokenGetter
    // 判斷是否設置爲true,是的話則建立接口用於從etcd驗證ServiceAccount token是否存在
    if s.ServiceAccountLookup {
        // If we need to look up service accounts and tokens,
        // go directly to etcd to avoid recursive auth insanity
        storageConfig, err := storageFactory.NewConfig(api.Resource("serviceaccounts"))
        if err != nil {
            glog.Fatalf("Unable to get serviceaccounts storage: %v", err)
        }
        serviceAccountGetter = serviceaccountcontroller.NewGetterFromStorageInterface(storageConfig, storageFactory.ResourcePrefix(api.Resource("serviceaccounts")), storageFactory.ResourcePrefix(api.Resource("secrets")))
    }

    // 安全認證相關
    apiAuthenticator, securityDefinitions, err := authenticator.New(authenticator.AuthenticatorConfig{
        Anonymous:                   s.GenericServerRunOptions.AnonymousAuth,
        AnyToken:                    s.GenericServerRunOptions.EnableAnyToken,
        // 指定basicauthfile文件所在的位置,當這個參數不爲空的時候,
        // 會開啓basicauth的認證方式,這是一個.csv文件,
        // 三列分別是password,username,useruid
        BasicAuthFile:               s.GenericServerRunOptions.BasicAuthFile,
        // 用於給客戶端簽名的根證書,當這個參數不爲空的時候,
        // 會開啓https的認證方式,會經過這個根證書對客戶端的證書進行身份認證
        ClientCAFile:                s.GenericServerRunOptions.ClientCAFile,
        // 用於Token文件所在的位置,當這個參數不爲空的時候,會採用token的認證方式,
        // token文件也是csv的格式,分別是「token,username,userid」
        TokenAuthFile:               s.GenericServerRunOptions.TokenAuthFile,
        OIDCIssuerURL:               s.GenericServerRunOptions.OIDCIssuerURL,
        OIDCClientID:                s.GenericServerRunOptions.OIDCClientID,
        OIDCCAFile:                  s.GenericServerRunOptions.OIDCCAFile,
        OIDCUsernameClaim:           s.GenericServerRunOptions.OIDCUsernameClaim,
        OIDCGroupsClaim:             s.GenericServerRunOptions.OIDCGroupsClaim,
        // 當不爲空的時候,採用ServiceAccount的認證方式,這實際上是一個公鑰方式。
        // 發過來的信息是客戶端使用對應的私鑰加密,服務端使用指定的公鑰來解密信息
        ServiceAccountKeyFiles:      s.ServiceAccountKeyFiles,
        // 默認爲false。若是爲true的話,就會從etcd中取出對應的ServiceAccount與
        // 傳過來的信息進行對比驗證,反之不會
        ServiceAccountLookup:        s.ServiceAccountLookup,
        ServiceAccountTokenGetter:   serviceAccountGetter,
        KeystoneURL:                 s.GenericServerRunOptions.KeystoneURL,
        KeystoneCAFile:              s.GenericServerRunOptions.KeystoneCAFile,
        WebhookTokenAuthnConfigFile: s.WebhookTokenAuthnConfigFile,
        WebhookTokenAuthnCacheTTL:   s.WebhookTokenAuthnCacheTTL,
        RequestHeaderConfig:         s.GenericServerRunOptions.AuthenticationRequestHeaderConfig(),
    })

    if err != nil {
        glog.Fatalf("Invalid Authentication Config: %v", err)
    }

    privilegedLoopbackToken := uuid.NewRandom().String()
    selfClientConfig, err := s.GenericServerRunOptions.NewSelfClientConfig(privilegedLoopbackToken)
    if err != nil {
        glog.Fatalf("Failed to create clientset: %v", err)
    }
    client, err := s.GenericServerRunOptions.NewSelfClient(privilegedLoopbackToken)
    if err != nil {
        glog.Errorf("Failed to create clientset: %v", err)
    }
    sharedInformers := informers.NewSharedInformerFactory(client, 10*time.Minute)

    authorizationConfig := authorizer.AuthorizationConfig{
        PolicyFile:                  s.GenericServerRunOptions.AuthorizationPolicyFile,
        WebhookConfigFile:           s.GenericServerRunOptions.AuthorizationWebhookConfigFile,
        WebhookCacheAuthorizedTTL:   s.GenericServerRunOptions.AuthorizationWebhookCacheAuthorizedTTL,
        WebhookCacheUnauthorizedTTL: s.GenericServerRunOptions.AuthorizationWebhookCacheUnauthorizedTTL,
        RBACSuperUser:               s.GenericServerRunOptions.AuthorizationRBACSuperUser,
        InformerFactory:             sharedInformers,
    }
    authorizationModeNames := strings.Split(s.GenericServerRunOptions.AuthorizationMode, ",")
    apiAuthorizer, err := authorizer.NewAuthorizerFromAuthorizationConfig(authorizationModeNames, authorizationConfig)
    if err != nil {
        glog.Fatalf("Invalid Authorization Config: %v", err)
    }

    admissionControlPluginNames := strings.Split(s.GenericServerRunOptions.AdmissionControl, ",")

    // TODO(dims): We probably need to add an option "EnableLoopbackToken"
    if apiAuthenticator != nil {
        var uid = uuid.NewRandom().String()
        tokens := make(map[string]*user.DefaultInfo)
        tokens[privilegedLoopbackToken] = &user.DefaultInfo{
            Name:   user.APIServerUser,
            UID:    uid,
            Groups: []string{user.SystemPrivilegedGroup},
        }

        tokenAuthenticator := authenticator.NewAuthenticatorFromTokens(tokens)
        apiAuthenticator = authenticatorunion.New(tokenAuthenticator, apiAuthenticator)

        tokenAuthorizer := authorizer.NewPrivilegedGroups(user.SystemPrivilegedGroup)
        apiAuthorizer = authorizerunion.New(tokenAuthorizer, apiAuthorizer)
    }

    pluginInitializer := admission.NewPluginInitializer(sharedInformers, apiAuthorizer)
    // 准入控制器
    admissionController, err := admission.NewFromPlugins(client, admissionControlPluginNames, s.GenericServerRunOptions.AdmissionControlConfigFile, pluginInitializer)
    if err != nil {
        glog.Fatalf("Failed to initialize plugins: %v", err)
    }

    proxyTransport := utilnet.SetTransportDefaults(&http.Transport{
        Dial:            proxyDialerFn,
        TLSClientConfig: proxyTLSClientConfig,
    })
    kubeVersion := version.Get()
    
    // genericConfig在該接口最開始進行了建立並初始化
    genericConfig.Version = &kubeVersion
    genericConfig.LoopbackClientConfig = selfClientConfig
    genericConfig.Authenticator = apiAuthenticator
    genericConfig.Authorizer = apiAuthorizer
    genericConfig.AdmissionControl = admissionController
    genericConfig.APIResourceConfigSource = storageFactory.APIResourceConfigSource
    genericConfig.OpenAPIConfig.Info.Title = "Kubernetes"
    genericConfig.OpenAPIConfig.Definitions = generatedopenapi.OpenAPIDefinitions
    genericConfig.EnableOpenAPISupport = true
    genericConfig.EnableMetrics = true
    genericConfig.OpenAPIConfig.SecurityDefinitions = securityDefinitions

    // master.Config配置初始化
    config := &master.Config{
        GenericConfig: genericConfig.Config,

        StorageFactory:          storageFactory,
        EnableWatchCache:        s.GenericServerRunOptions.EnableWatchCache,
        EnableCoreControllers:   true,
        DeleteCollectionWorkers: s.GenericServerRunOptions.DeleteCollectionWorkers,
        EventTTL:                s.EventTTL,
        KubeletClientConfig:     s.KubeletConfig,
        EnableUISupport:         true,
        EnableLogsSupport:       true,
        ProxyTransport:          proxyTransport,

        Tunneler: tunneler,

        ServiceIPRange:       serviceIPRange,
        APIServerServiceIP:   apiServerServiceIP,
        APIServerServicePort: 443,

        ServiceNodePortRange:      s.GenericServerRunOptions.ServiceNodePortRange,
        KubernetesServiceNodePort: s.GenericServerRunOptions.KubernetesServiceNodePort,

        MasterCount: s.GenericServerRunOptions.MasterCount,
    }
    // 判斷是否對watch cache進行了使能,默認是true
    // 是true的話,會初始化watchCacheSize,而後設置各個resource的CacheSize
    if s.GenericServerRunOptions.EnableWatchCache {
        glog.V(2).Infof("Initalizing cache sizes based on %dMB limit", s.GenericServerRunOptions.TargetRAMMB)
        cachesize.InitializeWatchCacheSizes(s.GenericServerRunOptions.TargetRAMMB)
        cachesize.SetWatchCacheSizes(s.GenericServerRunOptions.WatchCacheSizes)
    }
    // 建立master
    // Complete()完善了config的初始化
    // New()進行resources的初始化及RESTful-api註冊
    m, err := config.Complete().New()
    if err != nil {
        return err
    }

    sharedInformers.Start(wait.NeverStop)
    // 運行HTTP/HTTPS服務
    m.GenericAPIServer.PrepareRun().Run(wait.NeverStop)
    return nil
}

該接口調用主要用於生成master實例對象,各類api的請求最後都是經過master對象來處理的。
在最後APIServer會啓動HTTP/HTTPS服務。

基本的啓動流程就介紹完了,這裏不進入細講,因爲大體瞭解下啓動流程。後面會繼續分章節介紹各個關鍵點。

相關文章
相關標籤/搜索