k8s apiServer

Posted 2023-05-15

参考技术A k8s apiServer是访问k8s的组件，是k8s所有组件交互的通道。其它组件不会两两交互，都通过apiServer组件交互。

apiServer也是一个网关，有认证、鉴权、准入、限流的作用。

开启TLS时，所有的请求都需要首先认证。Kubernetes支持多种认证机制，并支持同时开启多个认证插件（只要有一个认证通过即可）。如果认证成功，则用户的username会传入授权模块做进一步授权验证；而对于认证失败的请求则返回HTTP 401。
认证的插件有：

授权主要是用于对集群资源的访问控制，通过检查请求包含的相关属性值，与相对应的访问策略相比较，API请求必须满足某些策略才能被处理。跟认证类似，Kubernetes也支持多种授权机制，并支持同时开启多个授权插件。
目前，Kubernetes支持以下授权插件：

RBAC是一种用的比较多的授权模式，里面有三个基本概念

如下定义：

集群中：

准入控制（Admission Control）在授权后对请求做进一步的验证或添加默认参数。不同于授权和认证只关心请求的用户和操作，准入控制还处理请求的内容，并且仅对创建、更新、删除或连接（如代理）等有效，而对读操作无效。
准入控制插件：

限流和一般的微服务网关是一样的，令牌桶、滑动窗口、漏斗算法等等。

可以看到，ApiServer就是一个k8s的网关，是k8s访问的中心点。

什么是K-S检验

Kolmogorov-Smirnov是比较一个频率分布f(x)与理论分布g(x)或者两个观测值分布的检验方法。其原假设H0:两个数据分布一致或者数据符合理论分布。D=max|
f(x)-
g(x)|，当实际观测值D>D(n,α)则拒绝H0，否则则接受H0假设。KS检验与t-检验之类的其他方法不同是KS检验不需要知道数据的分布情况，可以算是一种非参数检验方法。当然这样方便的代价就是当检验的数据分布符合特定的分布事，KS检验的灵敏度没有相应的检验来的高。在样本量比较小的时候，KS检验作为非参数检验在分析两组数据之间是否不同时相当常用。
假定两个样本的样本量分别为n1和n2，用F1(X)和F2(X)分别表示两个样本的累积经验分布函数。再记Dj＝F1(Xj)-F2(Xj)。检验统计量近似正态分布,表达式为：Z=max|
Dj
|根号下（n1n2/（n1+n2））
方法步骤是：
（1）令f（x）为假设所特定的理论累积分布函数；
（2）令sn（x）为n个观察值的样本累积函数。对每一个观察值x，sn（x）＝k／n，k是小于或等于x的观察例数；
（3）确定最大距离D，定义为：
D＝max｜f（x）－sn（x）｜
检验假设H0:
f（x）＝sn（x）
备择假设H1:
（4）对于选定的显著水平，如果D值等于或大于附表的临界值，则拒绝原假设 参考技术A Kolmogorov-Smirnov是比较一个频率分布f(x)与理论分布g(x)或者两个观测值分布的检验方法。其原假设H0:两个数据分布一致或者数据符合理论分布。D=max| f(x)- g(x)|，当实际观测值D>D(n,α)则拒绝H0，否则则接受H0假设。KS检验与t-检验之类的其他方法不同是KS检验不需要知道数据的分布情况，可以算是一种非参数检验方法。当然这样方便的代价就是当检验的数据分布符合特定的分布事，KS检验的灵敏度没有相应的检验来的高。在样本量比较小的时候，KS检验作为非参数检验在分析两组数据之间是否不同时相当常用。
假定两个样本的样本量分别为n1和n2，用F1(X)和F2(X)分别表示两个样本的累积经验分布函数。再记Dj＝F1(Xj)-F2(Xj)。检验统计量近似正态分布,表达式为：Z=max| Dj |根号下（n1n2/（n1+n2））
方法步骤是：
（1）令f（x）为假设所特定的理论累积分布函数；
（2）令sn（x）为n个观察值的样本累积函数。对每一个观察值x，sn（x）＝k／n，k是小于或等于x的观察例数；
（3）确定最大距离D，定义为：
D＝max｜f（x）－sn（x）｜
检验假设H0: f（x）＝sn（x）
备择假设H1:
（4）对于选定的显著水平，如果D值等于或大于附表的临界值，则拒绝原假设 参考技术B K-S检验是统计学中在对一组数据进行统计分析是所用到的一种方法。它是将需要做统计分析的数据和另一组标准数据进行对比，求得它和标准数据之间的偏差的方法。一般在K-S检验中，先计算需要做比较的两组观察数据的累积分布函数，然后求这两个累积分布函数的差的绝对值中的最大值D。最后通过查表以确定D值是否落在所要求对应的置信区间内。若D值落在了对应的置信区间内，说明被检测的数据满足要求。反之亦然。