# kubectl kubectl 是 Kubernetes 的命令行工具(CLI),是 Kubernetes 用户和管理员必备的管理工具。 kubectl 提供了大量的子命令,方便管理 Kubernetes 集群中的各种功能。这里不再罗列各种子命令的格式,而是介绍下如何查询命令的帮助 * `kubectl -h` 查看子命令列表 * `kubectl options` 查看全局选项 * `kubectl --help` 查看子命令的帮助 * `kubectl [command] [PARAMS] -o=` 设置输出格式(如 json、yaml、jsonpath 等) * `kubectl explain [RESOURCE]` 查看资源的定义 ## 配置 使用 kubectl 的第一步是配置 Kubernetes 集群以及认证方式,包括 * cluster 信息:Kubernetes server 地址 * 用户信息:用户名、密码或密钥 * Context:cluster、用户信息以及 Namespace 的组合 示例 ```bash kubectl config set-credentials myself --username=admin --password=secret kubectl config set-cluster local-server --server=http://localhost:8080 kubectl config set-context default-context --cluster=local-server --user=myself --namespace=default kubectl config use-context default-context kubectl config view ``` ## 常用命令格式 * 创建:`kubectl run --image=` 或者 `kubectl create -f manifest.yaml` * 查询:`kubectl get ` * 更新 `kubectl set` 或者 `kubectl patch` * 删除:`kubectl delete ` 或者 `kubectl delete -f manifest.yaml` * 查询 Pod IP:`kubectl get pod -o jsonpath='{.status.podIP}'` * 容器内执行命令:`kubectl exec -ti sh` * 容器日志:`kubectl logs [-f] ` * 导出服务:`kubectl expose deploy --port=80` * Base64 解码: ```bash kubectl get secret SECRET -o go-template='{{ .data.KEY | base64decode }}' ``` 注意,`kubectl run` 仅支持 Pod、Replication Controller、Deployment、Job 和 CronJob 等几种资源。具体的资源类型是由参数决定的,默认为 Deployment: | 创建的资源类型 | 参数 | | ---------------------- | --------------------- | | Pod | `--restart=Never` | | Replication Controller | `--generator=run/v1` | | Deployment | `--restart=Always` | | Job | `--restart=OnFailure` | | CronJob | `--schedule=` | ## 命令行自动补全 Linux 系统 Bash: ```bash source /usr/share/bash-completion/bash_completion source <(kubectl completion bash) ``` MacOS zsh ```bash source <(kubectl completion zsh) ``` ## 自定义输出列 比如,查询所有 Pod 的资源请求和限制: ```bash kubectl get pods --all-namespaces -o custom-columns=NS:.metadata.namespace,NAME:.metadata.name,"CPU(requests)":.spec.containers[*].resources.requests.cpu,"CPU(limits)":.spec.containers[*].resources.limits.cpu,"MEMORY(requests)":.spec.containers[*].resources.requests.memory,"MEMORY(limits)":.spec.containers[*].resources.limits.memory ``` ## 日志查看 `kubectl logs` 用于显示 pod 运行中,容器内程序输出到标准输出的内容。跟 docker 的 logs 命令类似。 ```bash # Return snapshot logs from pod nginx with only one container kubectl logs nginx # Return snapshot of previous terminated ruby container logs from pod web-1 kubectl logs -p -c ruby web-1 # Begin streaming the logs of the ruby container in pod web-1 kubectl logs -f -c ruby web-1 ``` > 注:kubectl 只可以查看单个容器的日志,如果想要同时查看多个 Pod 的日志,可以使用 [stern](https://github.com/wercker/stern)。比如: `stern --all-namespaces -l run=nginx`。 ## 连接到一个正在运行的容器 `kubectl attach` 用于连接到一个正在运行的容器。跟 docker 的 attach 命令类似。 ```bash # Get output from running pod 123456-7890, using the first container by default kubectl attach 123456-7890 # Get output from ruby-container from pod 123456-7890 kubectl attach 123456-7890 -c ruby-container # Switch to raw terminal mode, sends stdin to 'bash' in ruby-container from pod 123456-7890 # and sends stdout/stderr from 'bash' back to the client kubectl attach 123456-7890 -c ruby-container -i -t Options: -c, --container='': Container name. If omitted, the first container in the pod will be chosen -i, --stdin=false: Pass stdin to the container -t, --tty=false: Stdin is a TTY ``` ## 在容器内部执行命令 `kubectl exec` 用于在一个正在运行的容器执行命令。跟 docker 的 exec 命令类似。 > 多容器 Pod 可通过 `kubectl.kubernetes.io/default-container` annotation 配置 kubectl 命令的默认容器。 ```bash # Get output from running 'date' from pod 123456-7890, using the first container by default kubectl exec 123456-7890 date # Get output from running 'date' in ruby-container from pod 123456-7890 kubectl exec 123456-7890 -c ruby-container date # Switch to raw terminal mode, sends stdin to 'bash' in ruby-container from pod 123456-7890 # and sends stdout/stderr from 'bash' back to the client kubectl exec 123456-7890 -c ruby-container -i -t -- bash -il Options: -c, --container='': Container name. If omitted, the first container in the pod will be chosen -p, --pod='': Pod name -i, --stdin=false: Pass stdin to the container -t, --tty=false: Stdin is a TT ``` ## 端口转发 `kubectl port-forward` 用于将本地端口转发到指定的 Pod。 ```bash # Listen on ports 5000 and 6000 locally, forwarding data to/from ports 5000 and 6000 in the pod kubectl port-forward mypod 5000 6000 # Listen on port 8888 locally, forwarding to 5000 in the pod kubectl port-forward mypod 8888:5000 # Listen on a random port locally, forwarding to 5000 in the pod kubectl port-forward mypod :5000 # Listen on a random port locally, forwarding to 5000 in the pod kubectl port-forward mypod 0:5000 ``` 也可以将本地端口转发到服务、复制控制器或者部署的端口。 ```bash # Forward to deployment kubectl port-forward deployment/redis-master 6379:6379 # Forward to replicaSet kubectl port-forward rs/redis-master 6379:6379 # Forward to service kubectl port-forward svc/redis-master 6379:6379 ``` ## API Server 代理 `kubectl proxy` 命令提供了一个 Kubernetes API 服务的 HTTP 代理。 ```bash $ kubectl proxy --port=8080 Starting to serve on 127.0.0.1:8080 ``` 可以通过代理地址 `http://localhost:8080/api/` 来直接访问 Kubernetes API,比如查询 Pod 列表 ```bash curl http://localhost:8080/api/v1/namespaces/default/pods ``` 注意,如果通过 `--address` 指定了非 localhost 的地址,则访问 8080 端口时会报未授权的错误,可以设置 `--accept-hosts` 来避免这个问题( **不推荐生产环境这么设置** ): ```bash kubectl proxy --address='0.0.0.0' --port=8080 --accept-hosts='^*$' ``` ## 文件拷贝 `kubectl cp` 支持从容器中拷贝,或者拷贝文件到容器中 ```bash # Copy /tmp/foo_dir local directory to /tmp/bar_dir in a remote pod in the default namespace kubectl cp /tmp/foo_dir :/tmp/bar_dir # Copy /tmp/foo local file to /tmp/bar in a remote pod in a specific container kubectl cp /tmp/foo :/tmp/bar -c # Copy /tmp/foo local file to /tmp/bar in a remote pod in namespace kubectl cp /tmp/foo /:/tmp/bar # Copy /tmp/foo from a remote pod to /tmp/bar locally kubectl cp /:/tmp/foo /tmp/bar Options: -c, --container='': Container name. If omitted, the first container in the pod will be chosen ``` 注意:文件拷贝依赖于 tar 命令,所以容器中需要能够执行 tar 命令 ## kubectl drain ```bash kubectl drain NODE [Options] ``` * 它会删除该 NODE 上由 ReplicationController, ReplicaSet, DaemonSet, StatefulSet or Job 创建的 Pod * 不删除 mirror pods(因为不可通过 API 删除 mirror pods) * 如果还有其它类型的 Pod(比如不通过 RC 而直接通过 kubectl create 的 Pod)并且没有 --force 选项,该命令会直接失败 * 如果命令中增加了 --force 选项,则会强制删除这些不是通过 ReplicationController, Job 或者 DaemonSet 创建的 Pod 有的时候不需要 evict pod,只需要标记 Node 不可调用,可以用 `kubectl cordon` 命令。 恢复的话只需要运行 `kubectl uncordon NODE` 将 NODE 重新改成可调度状态。 ## 权限检查 `kubectl auth` 提供了两个子命令用于检查用户的鉴权情况: * `kubectl auth can-i` 检查用户是否有权限进行某个操作,比如 ```bash # Check to see if I can create pods in any namespace kubectl auth can-i create pods --all-namespaces # Check to see if I can list deployments in my current namespace kubectl auth can-i list deployments.extensions # Check to see if I can do everything in my current namespace ("*" means all) kubectl auth can-i '*' '*' # Check to see if I can get the job named "bar" in namespace "foo" kubectl auth can-i list jobs.batch/bar -n foo ``` * `kubectl auth reconcile` 自动修复有问题的 RBAC 策略,如 ```bash # Reconcile rbac resources from a file kubectl auth reconcile -f my-rbac-rules.yaml ``` ## 模拟其他用户 kubectl 支持模拟其他用户或者组来进行集群管理操作,比如 ```bash kubectl drain mynode --as=superman --as-group=system:masters ``` 这实际上就是在请求 Kubernetes API 时添加了如下的 HTTP HEADER: ```bash Impersonate-User: superman Impersonate-Group: system:masters ``` ## 查看事件(events) ```bash # 查看所有事件 kubectl get events --all-namespaces # 查看名为nginx对象的事件 kubectl get events --field-selector involvedObject.name=nginx,involvedObject.namespace=default # 查看名为nginx的服务事件 kubectl get events --field-selector involvedObject.name=nginx,involvedObject.namespace=default,involvedObject.kind=Service # 查看Pod的事件 kubectl get events --field-selector involvedObject.name=nginx-85cb5867f-bs7pn,involvedObject.kind=Pod # 按时间对events排序 kubectl get events --sort-by=.metadata.creationTimestamp # 自定义events输出格式 kubectl get events --sort-by='.metadata.creationTimestamp' -o 'go-template={{range .items}}{{.involvedObject.name}}{{"\t"}}{{.involvedObject.kind}}{{"\t"}}{{.message}}{{"\t"}}{{.reason}}{{"\t"}}{{.type}}{{"\t"}}{{.firstTimestamp}}{{"\n"}}{{end}}' ``` ## kubectl 插件 kubectl 插件提供了一种扩展 kubectl 的机制,比如添加新的子命令。插件可以以任何语言编写,只需要满足以下条件即可 * 插件放在 `~/.kube/plugins` 或环境变量 `KUBECTL_PLUGINS_PATH` 指定的目录中 * 插件的格式为 `子目录 / 可执行文件或脚本` 且子目录中要包括 `plugin.yaml` 配置文件 比如 ```bash $ tree . └── hello └── plugin.yaml 1 directory, 1 file $ cat hello/plugin.yaml name: "hello" shortDesc: "Hello kubectl plugin!" command: "echo Hello plugins!" $ kubectl plugin hello Hello plugins! ``` 你也可以使用 [krew](/setup/kubectl.md) 来管理 kubectl 插件。 ## 原始 URI kubectl 也可以用来直接访问原始 URI,比如要访问 [Metrics API](https://github.com/kubernetes-incubator/metrics-server) 可以 * `kubectl get --raw /apis/metrics.k8s.io/v1beta1/nodes` * `kubectl get --raw /apis/metrics.k8s.io/v1beta1/pods` * `kubectl get --raw /apis/metrics.k8s.io/v1beta1/nodes/` * `kubectl get --raw /apis/metrics.k8s.io/v1beta1/namespaces//pods/` ## 附录 kubectl 的安装方法 ```bash # OS X curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/darwin/amd64/kubectl # Linux curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl # Windows curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/windows/amd64/kubectl.exe ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://kubernetes.feisky.xyz/concepts/components/kubectl.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.