kubectl proxy

kubectl proxy 是 Kubernetes 命令行工具 kubectl 的一个命令，用于在本地机器和 Kubernetes API 服务器之间创建代理。这个代理允许你通过本地 HTTP 端点访问 Kubernetes API 服务器，从而可以方便地访问 Kubernetes 集群的 API 和资源，而无需直接在每个请求中处理认证和授权。

以下是 kubectl proxy 的详细用法和一些常见示例：

基本用法

kubectl proxy [--port=PORT] [--address=ADDRESS] [--accept-hosts=REGEX] [--accept-paths=REGEX] [--reject-paths=REGEX] [--api-prefix=PREFIX]

常见选项

• --port=PORT：指定代理将监听的本地端口，默认是 8001。
• --address=ADDRESS：指定代理绑定的本地地址，默认是 127.0.0.1，即只在本地可访问。可以设置为 0.0.0.0 以允许外部访问。
• --accept-hosts=REGEX：指定允许访问代理的主机名的正则表达式。
• --accept-paths=REGEX：指定允许访问的路径的正则表达式。
• --reject-paths=REGEX：指定拒绝访问的路径的正则表达式。
• --api-prefix=PREFIX：指定 API 代理路径前缀，默认是 /.

示例

1. 在默认端口（8001）上启动代理：

   kubectl proxy
   

   这将在 http://127.0.0.1:8001 上启动一个代理。

2. 在指定端口上启动代理：

   kubectl proxy --port=8080
   

   这将在 http://127.0.0.1:8080 上启动一个代理。

3. 允许外部访问代理：，一定要加参数--accept-hosts='^.*$',否则会返回Forbidden

   kubectl proxy --address=0.0.0.0 --accept-hosts='^.*$'
   

   这将在所有网络接口上启动代理，并允许任何主机访问。

4. 指定允许和拒绝的路径：

   kubectl proxy --accept-paths='^/api/v1/namespaces/default/pods' --reject-paths='^/api/v1/namespaces/default/pods/exec'
   

   这将允许访问 /api/v1/namespaces/default/pods 路径，但拒绝访问包含 /exec 的路径。

5. 访问 API 资源：

   启动代理后，可以通过代理访问 Kubernetes API。例如，获取所有命名空间的 Pod：

   curl http://127.0.0.1:8001/api/v1/namespaces/default/pods
   

   你也可以在浏览器中打开 http://127.0.0.1:8001/ui，访问 Kubernetes Dashboard。

使用场景

• 调试和开发： kubectl proxy 常用于本地开发和调试，因为它简化了与 Kubernetes API 的交互。
• 访问 Dashboard： 代理可以用来访问 Kubernetes Dashboard，提供图形化界面来管理和监控集群资源。
• 安全访问： 通过代理，可以安全地访问集群 API，而不需要暴露 API 服务器。

通过 kubectl proxy，你可以轻松地在本地环境中与 Kubernetes 集群进行交互，而无需直接处理复杂的认证和授权流程。