Kubernetes operator系列:webhook 知识学习

已于 2024-03-15 16:39:19 修改
阅读量539 收藏 7
点赞数 14
分类专栏: 云原生学习专栏 文章标签: kubernetes Operator Controller CRD 云原生 webhook admission
于 2024-03-14 18:57:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1369760658/article/details/136719041
版权

云原生学习路线导航页(持续更新中)

1.kubernetes Admission Control 机制

1.1.Admission Control准入控制是什么

  • kubernetes ApiServer 收到一个请求,在将数据持久化到etcd之前,会依次经过:Authentication认证、Authorization鉴权、Admission Control准入控制
    • Authentication:验证用户或实体的身份,并确保其声称的身份是有效的
    • Authorization:确保当前用户具有对其 访问资源 的访问权限
    • Admission Control:对请求本身进行 验证、转换 和 审查
      在这里插入图片描述

1.2.Admission Control 插件机制

  • Admission Control 是由一系列插件组成的,apiserver的请求,需要通过所有插件,才能最终存储到etcd
  • api server 启动时,使用参数控制插件的开启
    • kubernetes 1.10及以上版本,apiserver使用 参数 --enable-admission-plugins 控制插件启动
    • kubernetes 1.9及以下版本,apiserver使用 参数 --admission-control 控制插件启动
  • 我们今天要学习的webhook,涉及到 Admission Control 的两个插件:MutatingAdmissionWebhook、ValidatingAdmissionWebhook,这两个插件都是默认开启的,我们无需再去更改apiserver启动参数重启

2.Webhook介绍

2.1.webhook是什么

  • 顾名思义,webhook就是 网络钩子,在特殊条件下自动触发执行。
  • 在kubernetes中,通过使用 webhook,用户可以编写自定义的业务逻辑,并将其部署为独立的 HTTP 服务,然后将其注册到 Kubernetes 中。
    • Kubernetes 将根据配置,将到达 apiserver 的请求发送到相应的 webhook 服务,并根据 webhook 返回的结果来决定是否允许请求继续进行,以及是否需要对请求进行修改。

2.2.kubernetes webhook的三种类型

  • 在kubernetes中,webhook共分为三种
    • admission webhook
      • 属于admission control插件,在请求进入admission control插件链时,依次调用
    • authorization webhook
      • 对 API Server 中的请求进行授权判断
    • CRD conversion webhook
      • 用于对 多版本的crd 资源,进行版本间数据转换
  • 其中,controller-runtime 支持 admission webhookCRD conversion webhook 两种
    • 我们进行Operator开发,也只要是涉及到这两种webhook

2.3.为webhook提供证书

  • 为什么需要为webhook提供证书
    • admission webhookCRD conversion webhook,api Server 通过 https post 访问 webhook server, 因此 webhook server 必须要监听在 https 协议上
    • 因此 这三种 webhook 都需要做好证书配置,推荐使用 cert-manager 为Webhook提供证书
  • 安装cert-manager
    kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.14.4/cert-manager.yaml
  • 查看安装结果
    [root@localhost cert-manager]# kubectl get pod -n cert-manager
NAME                                       READY   STATUS    RESTARTS   AGE
cert-manager-7fb948f468-r5dj2              1/1     Running   0          142m
cert-manager-cainjector-75c5fc965c-shtx6   1/1     Running   0          142m
cert-manager-webhook-757c9d4bb7-vhgt7      1/1     Running   0          142m

[root@localhost cert-manager]# kubectl get ValidatingWebhookConfiguration
NAME                   WEBHOOKS   AGE
cert-manager-webhook   1          143m

[root@localhost cert-manager]# kubectl get MutatingWebhookConfiguration
NAME                   WEBHOOKS   AGE
cert-manager-webhook   1          143m

3.admission webhook

4.CRD conversion webhook

  • 除了admission webhook,我们开发Operator的时候,还会用到一种webhook,即 CRD conversion webhook
  • 当创建了一个多版本的 CRD API,要求多个版本之间能够相互转换,相互兼容,就需要额外启动一个服务,暴露转换功能接口,供apiserver调用
  • CRD conversion webhook可以在kubernetes集群外启动,也可以在集群内启动,只需要做好证书配置,让apiserver能够正确访问即可
  • conversion webhook具体的开发方法,见下面的文章
grahamzhu
关注
  • 14
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
给 K8s 中的 Operator 添加 Webhook 功能【保姆级】
m0_73257876的博客
09-13 1002
准入控制器是在对象持久化之前用于对 Kubernetes API Server 的请求进行拦截的代码段,在请求经过身份验证和授权之后放行通过。准入控制器可能正在 validating、mutating 或者都在执行,Mutating 控制器可以修改他们处理的资源对象,Validating 控制器不会,如果任何一个阶段中的任何控制器拒绝了请求,则会立即拒绝整个请求,并将错误返回给最终的用户。时序图如下所示:如果我们想为 CRD 实现 admission webhook,我们唯一要做的就是实现。
k8s webhook实例,java springboot程序实现 对Pod创建请求添加边车容器 ,模拟istio实现日志文件清理
liuyij3430448的博客
07-28 1728
k8s webhook实例,java springboot程序实现 对Pod创建请求添加边车容器 ,模拟istio实现日志文件清理
Kubebuilder 构建 k8s-operator 实现自定义 controllerwebhook 逻辑
ju4t_s的博客
03-05 746
首先,我们需要定义好自定义的资源,我们这里指定为App,我们希望开发团队能够声明一个App 的资源,然后由我们的自定义controller根据其配置,自动为其创建deployment、service、ingress等资源。解决前面遗留的问题。
Operator 开发实践 四 (WebHook
一枝芦苇
10-18 563
我们知道访问Kubernetes API有好几种方式,比如使用kubectl命令、使用client-go之类的开发库、直接通过REST请求等。不管是一个使用kubectl的真人用户,还是一个Service Account,都可以通过API访问认证,这个过程官网有一张图描述得很直观当一个访问请求发送到API Server的时候,会依次经过认证、鉴权、准入控制三个主要的过程。Admission Webhook就是这里提到的“准入控制”的范畴.
kubebuilder实战之七:webhook
程序员欣宸的博客
03-01 8249
webhook是个重要的功能,用于填写默认值和合法性校验
kubernetes-operatorKubernetes本地Jenkins运算符
01-30
开箱即用提供: 与Kubernetes集成( ) 作为代码的管道() 通过Groovy脚本(类似于)或()进行扩展安全默认值和强化(请参阅文档)问题陈述和目标我们决定实施Jenkins Operator的主要原因是,事实是我们在标准...
weblogic-kubernetes-operator:Oracle Weblogic Server Kubernetes运算符
02-03
此外,我们提供了一个开放源代码的Oracle WebLogic Server Kubernetes Operator(“操作员”),它具有多种关键功能,可帮助您在Kubernetes环境中部署和管理WebLogic域。 您可以: 在Kubernetes持久卷中创建...
fdb-kubernetes-operator:FoundationDB的kubernetes运算符
04-01
kubectl apply -f https://raw.githubusercontent.com/FoundationDB/fdb-kubernetes-operator/master/config/crd/bases/apps.foundationdb.org_foundationdbclusters.yaml kubectl apply -f ...
Redis-Operator:Redis OperatorKubernetes上创建配置管理Redis集群
05-03
这是我们的Redis-Operator的第二个版本,该版本现在基于Kubernetes CustomResourceDefinition(CRD)来表示RedisCluster配置。 概述 Redis集群将通过独特的部署进行部署。 Redis集群的每个节点都在自己的Pod中运行...
kubernetes-katas:Kubernetes卡塔斯(Kubernetes Katas)
03-28
文件 `kubernetes-katas-main` 可能包含了一系列练习的源代码和指导文档,用户可以通过解压文件,按照指导逐步完成各项任务,从而巩固理论知识并提升实际操作技巧。此外,这样的实践练习也有助于理解和掌握 ...
【Spark Operatorwebhook的NamespaceSelector和ObjectSelector
runzhliu大数据/容器日记
12-31 640
之前走读 Spark Opeartor Webhook 部分的代码的时候发现,因为业务种类很多,我们需要在 webhook 层加很多参数和配置来控制用户的一些行为但是发现原生的 Spark Operator 只接受 NamespaceSelector 也就是这种行为的控制职能针对一个命名空间的对象。这个范围对我们来说有点太大了,我们喜欢更精细一点去控制 Webhook 的效果,所以这里可以通过修改 Webhook,引入 ObjectSelector 来控制。修改 spark-operator webhook
Kubernetes Admission Webhook在prometheus-operator中的使用
以简为道
12-21 1380
Admission Webhook概览 Kubernetes Admission Webhook机制作为API Server的扩展机制,可以用来灵活地在对API Server对象进行写操作时实现对象统一修改和检验等功能,详细的功能介绍可以参见官方文档。当客户端连接API Server更改对象时,会经过下图所示的过程。 总得来说,有两种Admission Webhook: Mutating ...
prometheus-operator使用【创建Alertmanager的Webhook
Happywzy~的博客
12-03 1031
上文介绍了Alertmanager集成钉钉,我们还可以自己写一个webhook,用于接收Alertmanager的通知服务。 获取Alertmanager的请求内容 参考前文,我们知道Alertmanager会向配置的webhook地址发送一个POST请求,这里我们先编写一个简单的controller,用于接收Alertmanager的请求,如下: @RequestMappin...
钩子(hooks)—webhook-使用钩子自动触发部署
热门推荐
feng98ren的专栏
08-16 2万+
钩子(hooks)—webhook   http://fighter.blog.51cto.com/1318618/1670667 https://www.lovelucy.info/auto-deploy-website-by-webhooks-of-github-and-gitlab.html 什么是webhook?     wehook A webhook is an API...
【Spark Operatorwebhook的分析
runzhliu大数据/容器日记
08-03 646
spark operator 是支持 webhook 的,也就是说,可以通过 webhook 来给 spark operator 创建的 pod 加上如 NodeSelector, PodAffinity, InitContainer 等特性。这在原生的 Spark 里只能通过配置 Pod Template 来做,个人觉得 Pod Template 不如 webhook 方便,而且 Spark 的逻辑里没有对 Pod Template 进行语法的校验。 但是目前 // NamespaceSelector
K8S 集群节点缩容
weixin_67050107的博客
06-30 624
k8s 节点缩容
emptyDir + initContainer实现ConfigMap的动态更新(K8s相关)
最新发布
lucyLee的博客
06-30 914
node.id。
k8s学习--k8s群集部署zookeeper应用及详细解释
lwxvgdv的博客
06-28 1440
ZooKeeper 是一个开源的分布式协调服务,主要用于分布式应用程序中,管理数据、同步服务以及维护配置信息。它是由 Apache Software Foundation 管理和维护的。
kubernetes operator download
10-24
Kubernetes Operator 是一种用于管理和部署 Kubernetes 集群中自定义资源的方法。在下载 Kubernetes Operator 之前,我们需要先了解一些背景知识。 首先,自定义资源是 Kubernetes 资源的扩展,可以根据实际需求定义和创建。它们可以通过自定义控制器进行管理。Kubernetes Operator 就是这样一种自定义控制器,用于管理和操作自定义资源。 要下载 Kubernetes Operator,我们可以按照以下步骤进行: 1. 确保我们已经安装了 Kubernetes 集群,包括 kubectl 工具。 2. 打开终端窗口。 3. 使用命令行工具 kubectl 通过运行以下命令从官方仓库中下载需要的 Operator CRD 清单文件: ``` kubectl create -f https://operatorhub.io/install/example-operator.yaml ``` 这将会创建一个 Operator 的自定义资源清单文件,并将其部署到 Kubernetes 集群中。 4. 使用命令行工具 kubectl 通过运行以下命令确认 Operator 是否已经成功下载和部署: ``` kubectl get operators ``` 这将会列出已部署的 Operator。 5. 完成上述步骤后,我们可以根据实际需求进一步配置和操作 Operator 自定义资源,例如创建、更新和删除资源实例。 总结起来,要下载 Kubernetes Operator,我们需要先安装 Kubernetes 集群并确保 kubectl 工具可用,然后通过 kubectl 工具从官方仓库中下载 Operator 清单文件并部署到集群中。下载完成后,我们可以使用 kubectl 工具进行操作和管理 Operator 自定义资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值