kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)_ admissionconfiguration

最新推荐文章于 2024-05-04 21:27:46 发布
最新推荐文章于 2024-05-04 21:27:46 发布
阅读量793 收藏 11
点赞数 16
分类专栏: 2024年程序员学习 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83627805/article/details/137652611
版权

https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/admission-controllers/


相关Vebhook.准入控制器:


webhook 是一个api,用于处理一个轻量级的事件


![](https://img-blog.csdnimg.cn/direct/051c7459a22a48739dbb1e2673a51523.png)


1. MutatingAdmissionWebhook  修改资源,理论上可以监听并修改任何经过ApiServer处理的请求
2. ValidatingAdmissionWebhook 验证资源
3. ImagePolicyWebhook              镜像策略,主要验证镜像字段是否满足条件 (仓库,tag)


流程:当 api 接收到这个请求后,并进行身份验证授权(Authentication),通过调用准入控制的接口来处理传入过来的资源,资源会传入到Webhook(Mutating),进行对象架构验证(object),再进行资源验证,查看字段是否符合要求(Validating),最后传入etcd中(Persisted to etcd)


![](https://img-blog.csdnimg.cn/direct/cfcc738ab3274dd1a1400a822d5337c9.png)


## ImagePolicyWebhook


### 架构


本次示例使用的方法是


通过docker 跑一个能进行api检测的python程序


通过将传给apiserver创建pod api 传到python docker 上进行检测镜像版本标签


如果不带标签则返回给apiserver拒绝语句,如果带标签则返回接收语句



### 启用

mkdir /etc/kubernetes/image-policy/

vim admission_configuration.yaml

apiVersion: apiserver.config.k8s.io/v1

kind: AdmissionConfiguration

plugins:

  • name: ImagePolicyWebhook

configuration:

imagePolicy:

kubeConfigFile: /etc/kubernetes/image-policy/connect_webhook.yaml

# 链接镜像策略服务器配置文件

# 以秒计的时长,控制批准请求的缓存时间

allowTTL: 50

# 以秒计的时长,控制拒绝请求的缓存时间

denyTTL: 50

# 以毫秒计的时长,控制重试间隔

retryBackoff: 500

# 确定 Webhook 后端失效时的行为

defaultAllow: true

[root@master opa]# cp /root/.kube/config /etc/kubernetes/image-policy/connect_webhook.yaml

[root@master opa]# vim /etc/kubernetes/image-policy/connect_webhook.yaml


zip文件在最顶部

[root@master webhook]# unzip image-policy-webhook.zip

Archive:  image-policy-webhook.zip

creating: image-policy-webhook/

inflating: image-policy-webhook/Dockerfile

inflating: image-policy-webhook/main.py

inflating: admission_configuration.yaml

inflating: connect_webhook.yaml

inflating: image-policy-certs.sh

[root@master image-policy-webhook]# docker pull library/python

Using default tag: latest

latest: Pulling from library/python

8457fd5474e7: Pull complete

13baa2029dde: Pull complete

[root@master image-policy-webhook]# docker build -t webhook-python .

Sending build context to Docker daemon  3.584kB

Step 1/9 : FROM python

—> a5d7930b60cc

Step 2/9 : RUN useradd python

—> Running in 6a893ebbc97e

[root@master webhook]# chmod +x image-policy-certs.sh

[root@master webhook]# ./image-policy-certs.sh

2023/11/15 22:18:52 [INFO] generating a new CA key and certificate from CSR

2023/11/15 22:18:52 [INFO] generate received request

2023/11/15 22:18:52 [INFO] received CSR

2023/11/15 22:18:52 [INFO] generating key: rsa-2048

2023/11/15 22:18:52 [INFO] encoded CSR

2023/11/15 22:18:52 [INFO] signed certificate with serial number 39827921930120332354958212009020451382931127285

2023/11/15 22:18:52 [INFO] generate received request

2023/11/15 22:18:52 [INFO] received CSR

2023/11/15 22:18:52 [INFO] generating key: rsa-2048

2023/11/15 22:18:52 [INFO] encoded CSR

2023/11/15 22:18:52 [INFO] signed certificate with serial number 157085660290104533426640490732748948028109129205

2023/11/15 22:18:52 [INFO] generate received request

2023/11/15 22:18:52 [INFO] received CSR

2023/11/15 22:18:52 [INFO] generating key: rsa-2048

2023/11/15 22:18:53 [INFO] encoded CSR

2023/11/15 22:18:53 [INFO] signed certificate with serial number 20452152514611241358495370727393457709691078555

2023/11/15 22:18:53 [WARNING] This certificate lacks a “hosts” field. This makes it unsuitable for

websites. For more information see the Baseline Requirements for the Issuance and Management

of Publicly-Trusted Certificates, v.1.1.6, from the CA/Browser Forum (https://cabforum.org);

specifically, section 10.2.3 (“Information Requirements”).

[root@master webhook]# ls

admission_configuration.yaml  apiserver-client.pem  ca-key.pem             image-policy-webhook      webhook-key.pem

apiserver-client.csr          ca-config.json        ca.pem                 image-policy-webhook.zip  webhook.pem

apiserver-client-csr.json     ca.csr                connect_webhook.yaml   webhook.csr

apiserver-client-key.pem      ca-csr.json           image-policy-certs.sh  webhook-csr.json

[root@master webhook]# cp webhook* image-policy-webhook

[root@master webhook]# cd image-policy-webhook/

docker run -d -u root --name=webhook-python \

-v $PWD/webhook.pem:/data/www/webhook.pem \

-v $PWD/webhook-key.pem:/data/www/webhook-key.pem \

-e PYTHONUNBUFFERED=1 -p 8080:8080 \

webhook-python

[root@master image-policy-webhook]# docker ps -a | grep python

fe9713e647e8   webhook-python                                      “/bin/sh -c 'python …”   11 seconds ago   Exited (1) 9 seconds ago             webhook-python

[root@master webhook]# cp /root/k8s/cks/webhook/webhook.pem /etc/kubernetes/image-policy/

[root@master webhook]# cp /root/k8s/cks/webhook/apiserver-client-key.pem /etc/kubernetes/image-policy/

[root@master webhook]# cp /root/k8s/cks/webhook/apiserver-client.pem /etc/kubernetes/image-policy/

[root@master webhook]# ls /etc/kubernetes/image-policy/

admission_configuration.yaml  apiserver-client-key.pem  apiserver-client.pem  connect_webhook.yaml  webhook.pem


下面文件的 /etc/kubernetes/image-policy 是容器内的路径

apiVersion: v1

kind: Config

clusters:

  • cluster:

certificate-authority: /etc/kubernetes/image-policy/webhook.pem # 数字证书,用于验证远程服务

server: https://192.168.100.53:8080/image_policy # 镜像策略服务器地址,必须是https

name: webhook

contexts:

  • context:

cluster: webhook

user: apiserver

name: webhook

current-context: webhook

preferences: {}

users:

  • name: apiserver

user:

client-certificate: /etc/kubernetes/image-policy/apiserver-client.pem # webhook准入控制器使用的证书

client-key: /etc/kubernetes/image-policy/apiserver-client-key.pem # 对应私钥证书



![](https://img-blog.csdnimg.cn/direct/d0a44cb47b254fc380278d584c531f6a.png)





开启插件并使用hostpath 数据卷将宿主机/etc/kubernetes/image-policy目录挂载到容器中



**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/7f1964ab2165fed30ee07de86cc6a8ab.png)
![img](https://img-blog.csdnimg.cn/img_convert/c1d8e20e82ddbd71ccb800e4e7d332d9.png)
![img](https://img-blog.csdnimg.cn/img_convert/b7a46ff29c1e918fc2445df4faa830b2.png)
![img](https://img-blog.csdnimg.cn/img_convert/231a01a603ef50126a79baabe1ee478a.png)
![img](https://img-blog.csdnimg.cn/img_convert/e22c885aefcb212c5075606b8474e861.png)
![img](https://img-blog.csdnimg.cn/img_convert/3174ef7f3405d2bdb07661d70c110e9c.png)

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**

**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**

**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
![img](https://img-blog.csdnimg.cn/img_convert/4c1db0c7ece988ac6a56334f5582d7d1.png)




本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。


最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。


最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。


![](https://img-blog.csdnimg.cn/img_convert/311903982dea1d8a5d2c98fc271b5b41.jpeg)



### 学习路线图


 其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。


相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。


![](https://img-blog.csdnimg.cn/img_convert/1ddfaf7dc5879b1120e31fafa1ad4dc7.jpeg)


#### 网络安全工具箱


当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份**我自己整理的网络安全入门工具以及使用教程和实战。**


![](https://img-blog.csdnimg.cn/img_convert/bcd1787ce996787388468bb227d8f959.jpeg)


#### 项目实战


最后就是项目实战,这里带来的是**SRC资料&HW资料**,毕竟实战是检验真理的唯一标准嘛~


![](https://img-blog.csdnimg.cn/img_convert/35fc46df24091ce3c9a5032a9919b755.jpeg)


#### 面试题


归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!

**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
![img](https://img-blog.csdnimg.cn/img_convert/e830493a491680cb3c81f8f02ad27a69.png)

目实战


最后就是项目实战,这里带来的是**SRC资料&HW资料**,毕竟实战是检验真理的唯一标准嘛~


![](https://img-blog.csdnimg.cn/img_convert/35fc46df24091ce3c9a5032a9919b755.jpeg)


#### 面试题


归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!

**一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
[外链图片转存中...(img-cpksFAW9-1712839624290)]
2401_83627805
关注
  • 16
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 Admission Webhook 机制实现多集群资源配额控制
吉小白的博客
01-12 553
1 要解决的问题 集群分配给多个用户使用时,需要使用配额以限制用户的资源使用,包括 CPU 核数、内存大小、GPU 卡数等,以防止资源被某些用户耗尽,造成不公平的资源分配。 大多数情况下,集群原生的 ResourceQuota 机制可以很好地解决问题。但随着集群规模扩大,以及任务类型的增多,我们对配额管理的规则需要进行调整: ResourceQuota 针对单集群设计,但实际上,开发/生产中经常使用 多集群 环境。 集群大多数任务通过比如deployment、mpijob 等 高级资源对象 进行提交,我们
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)_ admissionconfiguration(1)
2301_79058515的博客
04-15 757
Admission Webhook 准入控制器Vebhook是准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。即拦截进出的流量,对k8s来说即为apiserver的请求Admission webhook 为开发者提供了非常灵活的插件模式,在kubernetes资源持久化,之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。
admission webhooks
qq_34482492的博客
05-02 334
用于准入控制。
Kubernetes 准入控制器Admission Webhook
小楼一夜听春雨,深巷明朝卖杏花
07-20 3211
Admission Webhook准入控制器Webhook准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可以监
准入控制器Admission Webhook
qq_36270681的博客
01-22 1376
Admission Webhook准入控制器Webhook准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可
k8s中Admission webhook
weixin_43114954的博客
10-06 2370
前言 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhookAdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)
01-09
kubernetes webhook image
PrometheusAlertmanager的简单webhook接收器_Go_Shell_下载.zip
04-05
在这个“PrometheusAlertmanager的简单webhook接收器_Go_Shell_下载.zip”中,我们很可能是得到了一个用Go语言编写的webhook接收器示例和可能的Shell脚本,用于接收和处理Alertmanager发送过来的警报。 1. **...
哨兵:Kubernetes对象验证准入控制器
02-04
Sentry是一个Webhook验证准入控制器,可在准入之前对Kubernetes中的对象强制实施规则集群。 规则 Sentry当前支持以下执行规则。 如果未在config.yaml中将“ enabled”设置为true来设置它们,则不会强制执行它们。 ...
GitHub-WebHook-master_github_webhook_githubphp网_clay7dm_webhookp
09-30
Github Webhook Api PHP
tugger:Kubernetes Admission Webhook强制从私有注册表中提取Docker映像
04-02
另外,应该添加MutatingAdmissionWebhook和ValidatingAdmissionWebhook接纳控制器,并以正确的顺序在kube-apiserver的接纳控制标志中列出。 构建并推送Tugger Docker映像 # Build docker image do
Admission Webhook 花式玩法,骚得很
云原生实验室
05-13 447
项目由来使用 kubernetes 的同学可能或多或少会有以下的实际业务或者需求场景:为确保安全性,需要对某些资源进行删除保护,例如不允许删除 namespace、crd 定义等;根据服务画像为不同的服务设置不同的属性,这些属性基本是业务无感的,例如设置不同的超售比、设置不同的 Label 以及调度特性从而实现 io 敏感型与 io 密集型服务的反亲和调度等;针对同一个 ...
Admission Webhook Part 2
yevvzi的博客
10-25 360
目标 本篇文章我们将参照官方的测试实例来一步步添加一个Admission Webhook #配置 webhook证书生成 由上节的配置我们可以看出,我们的webhook必须使用https,所以我们需要生成一个自签名的https证书, ca可以使用自定义的也可以共用apiserver的。 脚本可以参照istio的证书生成脚本: https://raw.githubusercontent.com/is...
了解Kubernetes三大门神之一Webhook
happy_85的专栏
07-05 841
Admission Webhook 是提高 Kubernetes 集群安全性的关键组件之一。通过动态审查和修改请求,它可以强制执行安全策略、防止恶意操作,并满足定制化需求。部署 Admission Webhook 需要一些配置和验证步骤,但一旦成功完成,它将为您的 Kubernetes 集群带来更高的安全性和可靠性。
k8s 的admission webhook 部署在集群外,如何创建ssl 文件
Standup-jb的博客
01-18 942
背景 一般情况下,对于webhook服务都是部署在k8s的集群内部的,但是我们这边有需要,需要部署在集群外面的物理机上,但是在MutatingWebhookConfiguration 里面只能配置https,所以需要自己签发证书。整个过程还是踩了坑。把过程记录下来。照着做肯定能成功。 安装cfssl 这个就不放具体的方法了,Google搜索一下。安装后执行一下命令 cfssl version 如果能正常显示如下,就代表安装好了 Version: 1.4.1 Runtime: go1.13.4 使用如下命令
kubebuilder(6)webhook
最新发布
云胜的笔记
05-04 891
这篇笔记讲的是admission webhook。当某个特定的时间发生时,api server就会查询注册的webhook,并根据一些逻辑确认转发消息给某个webhook。一种是校验类的webhook,只读取信息,做校验判断,不会改变消息,称为validating类型。在k8s中,有3类webhookadmission webhook, authorization webhook 和 CRD conversion webhook.更重要的文件是生成的这个webhook文件,我们的业务代码是写在这里的。
k8s admission webhook初探
u012803274的博客
03-20 3101
前言 之前一篇博客讨论的问题,就是如何杀掉container的主进程,并且让container不重启,最后有讲到说也许可以使用admission webhook,动态替换容器,做到给一个空容器,也就是deployment或者是statufulset的image标签,换成一个空镜像启动,然后在这里container中就可以java -jar启动自己的容器, 关闭自己的容器,完全当成是一个小型Linux来使用了,方便快速验证功能,不用每次都需要跑CI/CD。所以今天就来看看方案可行性,并且动手实践一把。 实践
使用minukube部署kubernetes admission webhook实现etcd pod安全删除
weixin_33736048的博客
02-25 372
本需求来自于一道面试题
kube-apiserver源码-动态准入控制 admission webhook
u014152978的博客
07-06 1581
动态配置admission webhook举例(详情见官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/): apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: "pod-policy.example.com" web
webhook_job_max_retry: 10
07-11
`webhook_job_max_retry: 10` 是 Harbor 的配置选项之一,用于设置 Webhook 任务的最大重试次数。当 Harbor 接收到 Webhook 请求时,如果任务执行失败,它将尝试重新执行该任务,最多重试指定次数。 通过将 `webhook_job_max_retry` 设置为 10,你可以配置 Harbor 在任务执行失败时最多重试 10 次。可以根据你的需求调整该值。 要应用这个配置更改,你需要编辑 Harbor 的配置文件,并将 `webhook_job_max_retry` 设置为你想要的值。保存并重新启动 Harbor 服务后,新的配置将生效。 请注意,设置过高的重试次数可能会导致任务长时间处于重试状态,并占用系统资源。因此,建议根据实际情况选择合适的重试次数。 希望对你有所帮助!如果还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值