kubectl是K8s官方附帶的命令行工具, 可以方便的操作K8s集群. 這篇文章主要介紹一些kubectl的別樣用法, 希望讀者有基礎的K8s使用經驗.

打印當前使用的API

#kubectl的主要作用就是與ApiServer進行交互,而交互的過程,我們可以通過下面的方式來打印,
#這個命令尤其適合調試自己的api接口時使用.
kubectlgetns-v=9

按狀態篩選容器以及刪除

kubectlgetpods--all-namespaces--field-selectorstatus.phase=Pending-ojson|
jq'.items[]|"kubectldeletepods(.metadata.name)-n(.metadata.namespace)"'|
xargs-n1bash-c


#這個命令要拆開來看
#首先,獲取所有ns中狀態為Pending的pods,并以json形式輸出
#這個語句其實由很多變體,比如,我想查找Failed的狀態,或是某個deployment
kubectlgetpods--all-namespaces--field-selectorstatus.phase=Pending-ojson

#針對json變量進行處理,生成可用的腳本
#這里是我想介紹的重點,利用jq以及kubectl的輸出,構建出可用的命令
jq'.items[]|"kubectldeletepods(.metadata.name)-n(.metadata.namespace)"'

#執行每一條命令
#注意,這種命令一定要好好調試,刪掉預期之外的pod就不好了.
xargs-n1bash-c


#例如,下面的語句可以找到所有的Pods并打印可以執行的語句
kubectlgetpods--all-namespaces--field-selectorstatus.phase=Running-ojson|
jq'.items[]|"kubectlgetpods(.metadata.name)-owide-n(.metadata.namespace)"'

"kubectlgetpodsmetrics-server-6d684c7b5-gtd6q-owide-nkube-system"
"kubectlgetpodslocal-path-provisioner-58fb86bdfd-98frc-owide-nkube-system"
"kubectlgetpodsnginx-deployment-574b87c764-xppmx-owide-ndefault"

#當然,如果只是刪除單個NS下面的一些pods,我會選擇下面的方法,但是它操作多個NS就很不方便了.
kubectl-ndefaultgetpods|grepCompleted|awk'{print$1}'|xargskubectl-ndefaultdeletepods

統計具體某臺機器上運行的所有pod

kubectl可以使用兩種選擇器, 一種是label, 一種是field, 可以看官網的介紹: Labels and Selectors Field Selectors

#它是一種選擇器,可以與上面的awk或者xargs配合使用.
#我個人平時都不喜歡用這個,直接get全部pods,然后grep查找感覺更快
kubectlgetpods--all-namespaces-owide--field-selectorspec.nodeName=pve-node1

統計Pod在不同機器的具體數量分布

不知道有讀者看過我的這篇文章: 基于kubernetes的PaaS平臺中細力度控制pods方案的實現. 均衡分布的工作前提是得知pod在各個機器的分布情況. 最好的辦法就是我們得到pod信息之后進行簡單的統計, 這個工作可以使用awk實現.

kubectl-ndefaultgetpods-owide-lapp="nginx"|awk'{print$7}'|
awk'{count[$0]++}
END{
printf("%-35s:%s
","Word","Count");
for(indincount){
printf("%-35s:%d
",ind,count[ind]);
}
}'

#執行結果如下
Word:Count
NODE:1
pve-node1:1
pve-node2:1


#awk的語法我沒深入了解,有興趣的讀者可以研究看看,這里我就不求甚解了.

kubectl proxy的使用

你可以理解為這個命令為K8s的ApiServer做了一層代理, 使用該代理, 你可以直接調用API而不需要經過鑒權. 啟動之后, 甚至可以實現kubectl套娃, 下面是一個例子:

#當你沒有設置kubeconfig而直接調用kubectl時
kubectlgetns-v=9
#可以打印出下面類似的錯誤
curl-k-v-XGET-H"Accept:application/json,*/*"-H"User-Agent:kubectl/v1.21.3(linux/amd64)kubernetes/ca643a4"'http://localhost:8080/api?timeout=32s'
skippedcachingdiscoveryinfoduetoGet"http://localhost:8080/api?timeout=32s":dialtcp127.0.0.1connect:connectionrefused
#也就是說當你不指定kubeconfig文件時,kubectl會默認訪問本機的8080端口
#那么我們先啟動一個kubectlproxy,然后指定監聽8080,再使用kubectl直接訪問,是不是就可行了呢,
#事實證明,安全與預想一致.
KUBECONFIG=~/.kube/config-symv3kubectlproxy-p8080
kubectlgetns
NAMESTATUSAGE
defaultActive127d

默認啟動的proxy是屏蔽了某些api的, 并且有一些限制, 例如無法使用exec進入pod之中 可以使用kubectl proxy --help來看, 例如

#僅允許本機訪問
--accept-hosts='^localhost$,^127.0.0.1$,^[::1]$':Regularexpressionforhoststhattheproxyshouldaccept.
#不允許訪問下面的api,也就是說默認沒法exec進入容器
--reject-paths='^/api/.*/pods/.*/exec,^/api/.*/pods/.*/attach':Regularexpressionforpathsthattheproxyshouldreject.Pathsspecifiedherewillberejectedevenacceptedby--accept-paths.

#想跳過exec的限制也很簡單,把reject-paths去掉就可以了
kubectlproxy-p8080--keepalive3600s--reject-paths=''-v=9

有人說這個kubectl proxy可能沒什么作用, 那可能僅僅是你還沒有實際的應用場景. 例如當我想要調試K8s dashboard代碼的時候. 如果直接使用kubeconfig文件, 我沒法看到具體的請求過程, 如果你加上一層proxy轉發, 并且設置-v=9的時候, 你就自動獲得了一個日志記錄工具, 在調試時相當有用.

總結

kubectl是一個強大的命令行工具, 上面我只是介紹了我工作中對其用法的一點探索, 也并不鼓勵大家非要記住這些命令, 只是希望當讀者需要的時候, 能夠想起來kubectl可以有類似的功能, 就不需要針對幾個臨時需求去研讀client-api了.