Kubernetes 两步验证 - 使用 Serverless 实现动态准入控制

最新推荐文章于 2024-10-14 14:11:57 发布
最新推荐文章于 2024-10-14 14:11:57 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CODING_devops/article/details/107046975
版权

作者:CODING - 王炜

1. 背景

如果对 Kubernetes 集群安全特别关注,那么我们可能想要实现这些需求:

  • 如何实现 Kubernetes 集群的两步验证,除了集群凭据,还需要提供一次性的 Token 校验?
  • 如何验证部署的镜像是否安全合规,使得仅允许部署公司内部镜像仓库的 Docker 镜像?
  • 如何实现对每一个 Deployment 动态注入 sidecar ,满足特定安全或业务需求?
  • 如何实现集群级的 imagePullSecrets ,当创建新的命名空间的时候,自动将 imagePullSecrets 注入到新的命名空间?

本文以实现 Kubernetes 两步验证为例,利用 Kubernetes Admission 动态准入控制,同时借助 Serverless 实现一个两步验证的 Demo,使读者对动态准入控制Serverless有较深入的了解。

1.2 实现效果

Token 两步验证失败,不允许部署

Token 两步验证成功,允许部署

2. 什么是 Admission

Admission 是在用户执行 kubectl 通过认证之后,在将资源持久化到 ETCD 之前的步骤,Kubernetes 为了将这部分逻辑解耦,通过调用 Webhook 的方式来实现用户自定义业务逻辑的补充。而以上过程,都是在用户执行 kuberctl 并等待 API Server 同步返回结果的生命周期内。

上图标注的 ① 和 ② 是 Admission 介入的工作流程,我们会发现有这些特点:

  1. Admission 工作在集群认证通过之后
  2. Admission 一共有两种:MutatingValidating
  3. 这两种具体的实现方式都是以 Webhook 实现的
  4. Admission 的操作对象可以是当前部署的用户、Yaml 内容等

2.2 Admission Mutating

Mutating 的字面理解是“变异”的意思,真正的含义是,在资源持久化到 ETCD 之前,Mutating 控制器可以修改所部署的资源文件,比如给特定的 POD 动态增加 Labels,动态注入 sidecar 等。 细心的读者会发现,Admission Mutating 在很多产品都被用到,比如 Istio 里面就是使用它来动态的给每一个容器注入 sidecar Envoy 容器来实现流量的劫持和管理。

2.3 Admission Validating

Validating 比较好理解,也就是“验证”,它在 Mutating 之后,我们可以将自定义的验证逻辑放在这个阶段实现。本文我们就是利用它来实现一个简单的两步验证机制。

3. 什么是 Admission Webhook

Admission Webhook 其实就是 Mutating ControllersValidating Controllers 的具体实现方式,也就是说,我们需要给 Kubernetes 集群提供一个外部 Webhook Endpoint,API Server 执行到对应流程时,会调用我们预定义的 Webhook 来实现我们预定义的业务逻辑,通过返回规定的数据结构,来实现对 Yaml 文件的变更或者验证。

4. 动手实践

4.1 集群条件

根据官方文档,先决条件有以下几点:

  • Kubernetes 集群版本至少为 v1.16
  • 启用了 MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook 控制器

如果不确定,可以通过以下命令查询:

kubectl get pods kube-apiserver -n kube-system -o yaml | grep MutatingAdmissionWebhook,ValidatingAdmissionWebhook

如果你使用的是托管集群,那么请使用以下命令查询:

kubectl api-versions | grep admission

如果出现 admissionregistration.k8s.io/v1beta1 说明集群支持,进行下一步。

4.2 其他条件

4.3 部署腾讯 Serverless 服务

  1. 登陆 CODING,并在配置 Serverless 身份授权,记录凭据 ID(类似:b68948cb-2ad9-4b67-8a49-ad7ba910ed92),稍后使用

  2. 克隆代码仓库 admission-webhook-example

    git clone https://e.coding.net/wangweicoding/admission-webhook-example.git

  3. 修改根目录下的文件

  • 根目录下的 Jenkinsfile,将上一步获取的凭据 ID 替换光标处的凭据 ID
最低0.47元/天 解锁文章
腾云 CODING
关注
CODING 再携手腾讯云 Serverless,让开发者跑步上云
CODING 博客
01-29 309
近年来,腾讯云持续在云原生领域打磨和完善产品矩阵,致力于为开发者上云提供更好的产品和服务。继前段时间 CODING CI 助力腾讯云 Serverless 全新应用控制台、持续保障 Serverless 应用快速部署稳定性之后,CODING DevOps 和腾讯云 Serverless 产品进一步合作,在多场景上为开发者提供了更加便捷的使用方式,让开发者跑步上云。 DevOps 与 Serverless 均是云原生的重要一环。如在前不久 Techo 开发者大会上发布的《腾讯云原生路线图》 中云原生最佳实践环
使用 Admission Webhook 机制实现多集群资源配额控制
吉小白的博客
01-12 576
1 要解决的问题 集群分配给多个用户使用时,需要使用配额以限制用户的资源使用,包括 CPU 核数、内存大小、GPU 卡数等,以防止资源被某些用户耗尽,造成不公平的资源分配。 大多数情况下,集群原生的 ResourceQuota 机制可以很好地解决问题。但随着集群规模扩大,以及任务类型的增多,我们对配额管理的规则需要进行调整: ResourceQuota 针对单集群设计,但实际上,开发/生产中经常使用 多集群 环境。 集群大多数任务通过比如deployment、mpijob 等 高级资源对象 进行提交,我们
serverless-onehook:一个钩子统治一切
05-27
无服务器的一个钩子 轻松创建插件而无需发布它们 在所有现有钩子之前和之后分配一个钩子 npm i -s @kessler/serverless-onehook plugins : - " @kessler/serverless-onehook " 在项目的基础上创建一个oneHook.js : module . exports = ( onehook ) => { // this module is run in during the construction of the plugin instance // so you can do anything that you would do in a normal sls plugin class onehook . commands = { ... } onehook . hooks =
k8s ValidatingWebhookConfiguration配置流程
最新发布
hhhh66994的博客
10-14 303
golang demo,功能是namespace校验,集群只能创建以test开头的namespace把程序打包成镜像。
CODING CI 与 腾讯云 Serverless 强强联合,助力业务快速上云
CODING 博客
12-28 270
随着越来越多的企业迈向了数字化转型进程,数字化技术也给作为支撑的云计算基础设施提出了更高的要求。同时,在疫情的影响下,不管是大型头部企业还是小型创业公司都在寻求控制运营成本和提升效率的方式。CODING CI 助力腾讯云 Serverless 全新应用控制台,持续保障 Serverless 应用快速部署的稳定性。全新的 Serverless 应用控制台能够帮助用户摆脱复杂冗余的开发配置工作,开发者可以聚焦于核心的业务代码逻辑编写,而无需操心底层系统资源及其维护。基于此优势,仅需修改几行代码,控制台即可完美将
create Pod mysql-test-slave-1-0 in StatefulSet mysql-test-slave-1 failed error: admission webhook "resourcesquotas.quota.kubesph
weixin_35750747的博客
01-10 747
这个错误信息表明,在 StatefulSet 中创建 Pod "mysql-test-slave-1-0" 时被 admission webhook "resourcesquotas.quota.kubesphere.io" 拒绝了请求,原因是 Pod "mysql-test-slave-1-0" 被禁止,因为超出了配额: 使用的 limits.memory=24776Mi, requests....
利用腾讯云函数做蓝奏云解析API
盧瞳的代码博客
12-08 1417
利用腾讯云函数做蓝奏云解析API
Kubernetes-for-Serverless-Applications:Packt发行的用于无服务器应用程序的Kubernetes
05-28
Kubernetes还可以用于增强开发流程本身,从而实现对编写代码的更一致的测试和分析,以便开发人员不仅可以验证正确性,还可以验证效率。 本书将介绍Kubernetes的关键概念,并结合如何使用NodeJS和Python示例代码部署...
express-sls-app:如何使用Serverless将Node.js应用程序部署到AWS Lambda,快速入门
02-06
将Express应用与Lambda结合,需要使用`serverless-offline`插件进行本地开发,以及`serverless-plugin-function-meta`来处理Express中间件。在`serverless.yml`中配置这些插件。 4. **编写业务逻辑** 在`app.js`...
disqus-proxy-serverless实现Disqus代理的Serverless服务解决国内无法访问Disqus的问题可用于hexo等博客
02-05
Disqus-Proxy-Serverless 如有疑问请阅读这篇,灵感来自 使用步骤 clonearies并配置src目录下的config.js git clone https://github.com/jacklightChen/disqus-proxy-serverless.git cd disqus-proxy-serverless ...
Rohit -- Building Serverless Applications with Python
07-02
根据给定的信息,“Rohit -- Building Serverless Applications with Python”这一标题以及描述中的内容,我们可以提炼出关于构建无服务器应用程序的重要知识点。 ### 一、什么是无服务器计算(Serverless Computing...
腾讯云部署项目成功 外网访问失败_Serverless 云函数全图文教程「白嫖」
weixin_39860108的博客
12-05 1115
Serverless 云函数全图文教程「白嫖」 | 技术专题第七期征文​juejin.im「前言」前面写了一篇关于拥有一台自己的云服务器 CVM 的文章,记录了如何购买一台云主机以及把自己的代码部署到外网的全过程。虽然低配的云服务器便宜,但还是需要花钱的。如果仅仅想把自己的项目发布到外网可以让所有网友访问,我推荐真正可以白嫖的服务资源 「腾讯云 Serverless 云函数」。而且 Serve...
深度剖析Kubernetes动态准入控制Admission Webhooks
weixin_34218579的博客
12-19 1897
2019独角兽企业重金招聘Python工程师标准>>> ...
开发kuberneteswebhook扩展程序之获取证书文件
windyear
06-29 2655
摘要 本文章主要介绍开发k8s的webhook扩展程序是需要做的获取证书的流程,主要参考了一个webhook程序。是对该程序的自动生成脚本 webhook-create-signed-cert.sh的简单描述。 需要TLS验证的原因 首先API服务器与其他程序通信需要保证安全性,所以他们之间要https加密通信。 webhook程序跟API服务器通信的时候可以理解为webhook程序时服务端,所...
nodejs 加载模块时,路径中的前缀“@”表示什么意思?
包磊磊的博客
07-14 2578
alias: 简化模块路径名称的输⼊。 build/webpack.base.conf.js里已配置: resolve: { extensions: ['.js', '.vue', '.json'], alias: { 'vue$': 'vue/dist/vue.esm.js', '@': resolve('src') //
【防溯源】利用腾讯云来隐藏连接 Webshell 的真实 IP
大方子
07-31 5800
https://note.youdao.com/s/FViFcKpS
kubernetes 准入控制Admission Controller
噜噜噜的博客
08-22 942
很多情况下我们并不希望大动干戈去改apiserver代码,所以apiserver提供了一种动态扩展admission的方式,非常推荐。 有两种类型: validating admission Webhook 只作校验,比如检测到某个特殊字段就不让请求通过 mutating admission webhook 可以对请求体进行修改(patch) 比较重要的是这个AdmissionReview结构体,包含一个请求一个响应 请求:有Object的详细信息,用户信息 响应: 最重要的是 1. 是否允.
kube-apiserver源码-动态准入控制 admission webhook
u014152978的博客
07-06 1609
动态配置admission webhook举例(详情见官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/): apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: "pod-policy.example.com" web
fatal: unable to access ‘https://gitee.com/mingSoft/MCMS.git/‘: 问题解决
热门推荐
weixin_30163735的博客
07-14 3万+
做了一个外卖小程序,大家日常点外卖的,可以每天来领券哦
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值