5 个冷门但非常实用的 Kubectl 使用技巧，99% 的人都不知道

# kubectl 的主要作用就是与 ApiServer 进行交互, 而交互的过程, 我们可以通过下面的方式来打印, 
# 这个命令尤其适合调试自己的api接口时使用.
$ kubectl get ns -v=9

$ kubectl get pods --all-namespaces --field-selector status.phase=Pending -o json | \
  jq '.items[] | "kubectl delete pods \(.metadata.name) -n \(.metadata.namespace)"' | \
  xargs -n 1 bash -c

# 这个命令要拆开来看
# 首先, 获取所有 ns 中状态为 Pending 的 pods, 并以 json 形式输出
# 这个语句其实由很多变体, 比如,我想查找 Failed 的状态, 或是某个 deployment

kubectl get pods --all-namespaces --field-selector status.phase=Pending -o json 

# 针对 json 变量进行处理, 生成可用的脚本
# 这里是我想介绍的重点, 利用jq以及kubectl的输出, 构建出可用的命令
jq '.items[] | "kubectl delete pods \(.metadata.name) -n \(.metadata.namespace)"'

# 执行每一条命令
# 注意, 这种命令一定要好好调试, 删掉预期之外的pod就不好了.
xargs -n 1 bash -c

# 例如, 下面的语句可以找到所有的Pods并打印可以执行的语句
$ kubectl get pods --all-namespaces --field-selector status.phase=Running -o json | \
  jq '.items[] | "kubectl get pods \(.metadata.name) -o wide -n \(.metadata.namespace)"'

"kubectl get pods metrics-server-6d684c7b5-gtd6q -o wide -n kube-system"
"kubectl get pods local-path-provisioner-58fb86bdfd-98frc -o wide -n kube-system"
"kubectl get pods nginx-deployment-574b87c764-xppmx -o wide -n default"

# 当然, 如果只是删除单个NS下面的一些pods, 我会选择下面的方法, 但是它操作多个NS就很不方便了.
$ kubectl -n default get pods  | grep Completed | awk '{print $1}' | xargs kubectl -n default delete pods

# 它是一种选择器, 可以与上面的 awk 或者 xargs 配合使用.
# 我个人平时都不喜欢用这个, 直接 get 全部 pods, 然后 grep 查找感觉更快
$ kubectl get pods --all-namespaces -o wide --field-selector spec.nodeName=pve-node1

$ kubectl -n default get pods -o wide -l app="nginx" | awk '{print $7}'|\
 awk '{ count[$0]++  } 
 END { 
   printf("%-35s: %s\n","Word","Count");
   for(ind in count){
    printf("%-35s: %d\n",ind,count[ind]);
   }
 }'

# 执行结果如下
Word                               : Count
NODE                               : 1
pve-node1                          : 1
pve-node2                          : 1


# awk 的语法我没深入了解, 有兴趣的读者可以研究看看, 这里我就不求甚解了.

# 当你没有设置 kubeconfig 而直接调用 kubectl 时
$ kubectl get ns -v=9
# 可以打印出下面类似的错误
$ curl -k -v -XGET  -H "Accept: application/json, */*" -H "User-Agent: kubectl/v1.21.3 (linux/amd64) kubernetes/ca643a4" 'http://localhost:8080/api?timeout=32s'
skipped caching discovery info due to Get "http://localhost:8080/api?timeout=32s": dial tcp 127.0.0.1:8080: connect: connection refused                     
# 也就是说当你不指定kubeconfig文件时, kubectl会默认访问本机的8080端口
# 那么我们先启动一个kubectl proxy, 然后指定监听8080, 再使用kubectl直接访问, 是不是就可行了呢, 
# 事实证明, 安全与预想一致.
$ KUBECONFIG=~/.kube/config-symv3 kubectl proxy  -p 8080
$ kubectl get ns
NAME                           STATUS   AGE
default                        Active   127d

# 仅允许本机访问
--accept-hosts='^localhost$,^127\.0\.0\.1$,^\[::1\]$': Regular expression for hosts that the proxy should accept.
# 不允许访问下面的api, 也就是说默认没法exec进入容器
--reject-paths='^/api/.*/pods/.*/exec,^/api/.*/pods/.*/attach': Regular expression for paths that the proxy should reject. Paths specified here will be rejected even accepted by --accept-paths.

# 想跳过 exec 的限制也很简单, 把 reject-paths 去掉就可以了
$ kubectl proxy -p 8080 --keepalive 3600s --reject-paths='' -v=9