1、kube-apiserver是k8s最核心的组件之一，主要提供以下功能：

1.1  提供集群管理的 REST API 接口，包括认证授权准入、数据校验以及集群状态变更等

1.2  提供其他模块之间的数据交互和通信的枢纽（其他模块通过 API Server 查询或修改数据，只有 API Server 才直接操作 etcd）

2、kube-apiserver api接口

kube-apiserver同时提供8080（http，监听127.0.0.1：8080）和6443（https）端口，其中http属于非安全端口，不做任何认证授权机制，不安全，不建议在生产环境中使用。http和https提供的api接口的格式一致。

可以通过kubectl 命令访问apiserver，比如可以通过kubectl api-versions和 kubectl api-resources 查询 Kubernetes API 支持的 API 版本以及资源对象。

$ kubectl api-versions

apiextensions.k8s.io/v1beta1

apiregistration.k8s.io/v1

apiregistration.k8s.io/v1beta1

apps/v1

apps/v1beta1

apps/v1beta2

authentication.k8s.io/v1

authentication.k8s.io/v1beta1

authorization.k8s.io/v1

authorization.k8s.io/v1beta1

autoscaling/v1

autoscaling/v2beta1

batch/v1

batch/v1beta1

certificates.k8s.io/v1beta1

events.k8s.io/v1beta1

extensions/v1beta1

metrics.k8s.io/v1beta1

networking.k8s.io/v1

policy/v1beta1

rbac.authorization.k8s.io/v1

rbac.authorization.k8s.io/v1beta1

scheduling.k8s.io/v1beta1

storage.k8s.io/v1

storage.k8s.io/v1beta1

v1

$ kubectl api-resources --api-group=storage.k8s.io

NAME                SHORTNAMES  APIGROUP        NAMESPACED  KIND

storageclasses      sc          storage.k8s.io  false        StorageClass

volumeattachments                storage.k8s.io  false        VolumeAttachment

3. 访问控制

Kubernetes API 的每个请求都会经过多阶段的访问控制之后才会被接受，这包括认证、授权以及准入控制（Admission Control）等。开启 TLS 时，所有的请求都需要首先认证。Kubernetes 支持多种认证机制，并支持同时开启多个认证插件（只要有一个认证通过即可）。如果认证成功，则用户的 username 会传入授权模块做进一步授权验证；而对于认证失败的请求则返回 HTTP 401。

4. 授权

认证之后的请求就到了授权模块。跟认证类似，Kubernetes 也支持多种授权机制，并支持同时开启多个授权插件（只要有一个验证通过即可）。如果授权成功，则用户的请求会发送到准入控制模块做进一步的请求验证；而对于授权失败的请求则返回 HTTP 403。

5. 准入控制

准入控制（Admission Control）用来对请求做进一步的验证或添加默认参数。不同于授权和认证只关心请求的用户和操作，准入控制还处理请求的内容，并且仅对创建、更新、删除或连接（如代理）等有效，而对读操作无效。准入控制也支持同时开启多个插件，它们依次调用，只有全部插件都通过的请求才可以放过进入系统。

6. kube-apiserver工作原理

kube-apiserver 提供了 Kubernetes 的 REST API，实现了认证、授权、准入控制等安全校验功能，同时也负责集群状态的存储操作（通过 etcd）。

7. API 访问

7.1 通过kubectl命令方式

kubectl get --raw /api/v1/namespaces

kubectl get --raw /apis/metrics.k8s.io/v1beta1/nodes

kubectl get --raw /apis/metrics.k8s.io/v1beta1/pods

7.2 curl命令，分别在pod内和pod外

$ TOKEN=$(cat /run/secrets/kubernetes.io/serviceaccount/token)

$ CACERT=/run/secrets/kubernetes.io/serviceaccount/ca.crt

$ curl  --cacert $CACERT --header "Authorization: Bearer $TOKEN"  https://$KUBERNETES_SERVICE_HOST:$KUBERNETES_SERVICE_PORT/api

APISERVER=$(kubectl config view | grep server | cut-f2--d":"| tr-d" ")

TOKEN=$(kubectl describe secret $(kubectl get secrets | grep default | cut-f1-d' ') | grep -E'^token'| cut-f2-d':'| tr-d'\t')

curl $APISERVER/api  --header "Authorization: Bearer $TOKEN" --insecure

End