nasłuchuje zewnętrznych połączeń za pomocą bezpiecznego portu HTTPS (443)
włączona jedna lub więcej form uwierzytelniania klienta
żaden z innych komponentów, które działa w ramach masterów (master components) nie wystawia swojego serwisu na świat (remote services) (etcd, Scheduler, Controller Manager). Z tymi wszystkimi komponentami rozmawiamy przez Api Serwera
Na nodach znajdują się certyfikaty, które pozwalają nodom komunikować się z Api Serwerem
Z podów da się połączyć z apiserwerem, użyta tutaj jest dodatkowo koncepcja service account dzięki czemu certyfikat jest wstrzykiwany do komunikacji
jedynym serwisem który widzimy z perspektywy klastra Kubernetes jest serwis który nazywa się kubernetes, który ma wirtualny adres IP, wszystko co do niego zostanie przekierowywane trafia do apiservera (za pomocą kube-proxy)
master components również komunikują się z cluster api server
Master-to-Cluster
Api server sam również rozmawia z komponentami na nodach np. z kubelet (który pracuje na każdym nodzie oraz jako jeden z niewielu w całym klastrze nie działa w kontenerze) w celu:
pobrania logów z podów
podłączenia się do działającego poda
wykonania port-forwarding
podobnie dzieje się kiedy api server rozmawia z każdym nodem, komunikacja odbywa się za pomocą apiserver proxy