Kubernetes控制平面组件:API Server Webhook 授权机制 详解

已于 2025-04-13 12:34:11 修改
阅读量923 收藏 13
点赞数 9
分类专栏: 云原生学习专栏 文章标签: kubernetes 授权 authorization webhook 第三方授权 rbac 认证授权
于 2025-04-13 12:22:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1369760658/article/details/147188485
版权

云原生学习路线导航页(持续更新中)

本文主要对kubernetes的控制面组件API Server 授权机制中的 Webhook 授权机制进行详细介绍,涵盖Webhook机制基础概念、设计理念、实现原理、授权流程、参数配置等

  • 希望大家多多 点赞 关注 评论 收藏,作者会更有动力编写技术文章

1.基础概念

1.1.Webhook 机制定义

  • Webhook 是 Kubernetes 的扩展机制之一,允许将授权决策委托给外部 HTTP 服务。
  • 当 API Server 收到资源操作请求时,会将请求转发至预先配置的外部 Webhook 服务进行权限验证,并根据其返回结果决定是否允许该操作。

1.2.核心设计理念

  • 解耦性:将授权逻辑从 Kubernetes 核心组件中剥离,通过外部服务实现灵活的策略管理。
  • 动态策略:无需重启 API Server 即可动态更新授权规则,适应快速变化的业务需求。
  • 多租户支持:结合企业级身份认证系统(如 LDAP、OAuth)实现细粒度权限控制。

1.3.与 RBAC 的区别

  • RBAC:基于角色和静态策略,适用于固定权限模型。
  • Webhook:支持动态、外部化策略,适用于复杂场景(如跨系统鉴权、自定义规则)。

1.4.Webhook认证 与 Webhook授权 异同辨析

  • 相同点:
    • 设计理念相同。认证/授权 均有Webhook的扩展机制,都是允许将当前请求发送到第三方服务进行认证/授权,apiserver 根据返回结果决定是否通过 认证/授权
    • 使用方式类似。都是使用kubeconfig格式指定第三方服务的url、cert等信息,供apiserver与之交互使用
  • 不同点:
    • apiserver配置文件参数不同。在apiserver的参数中需要指定第三方服务的配置文件,认证参数:--authentication-token-webhook-config-file,授权参数:--authorization-webhook-config-file
    • 调用时机不同。在API Server处理链路中,认证在前,授权在后。

1.5.API Server启用webhook授权机制

在这里插入图片描述

  • --authorization-mode=Webhook
  • 使用 Webhook 授权机制需显式启用 authorization.k8s.io/v1beta1 API 扩展组:--runtime-config=authorization.k8s.io/v1beta1=true

2.实现原理

2.1 核心组件交互

  • API Server:作为请求入口,负责接收客户端请求,在合适时机将请求封装为 SubjectAccessReview 结构转发至 Webhook
  • Webhook 服务:webhook服务,接收apiserver的 SubjectAccessReview 对象,可以自行处理授权,也可以作为代理调用第三方授权服务,将返回结果封装后将alloweddenied 返回给apiserver。
  • 第三方授权服务:独立的第三方授权服务,一般为企业独立的授权模块,可以通过webhook代理插入apiserver。

如果 第三方授权服务 本身就可以处理 SubjectAccessReview 请求,那也可以省略中间的webhook代理服务

2.2 请求处理流程

  1. 请求接收:客户端发起 API 请求(如 kubectl create)。
  2. 认证与预检:完成 TLS 握手和身份认证(如 ServiceAccount Token)。
  3. Webhook 匹配:根据资源配置(rules)判断是否触发 Webhook。
  4. 请求转发:API Server 将请求封装为 SubjectAccessReview JSON 对象,通过 HTTPS 发送至 Webhook 代理服务。
  5. 策略决策:Webhook 解析请求属性(用户、资源、操作),执行自定义逻辑(如调用外部权限系统)。
  6. 响应处理:返回 allowed: true/false,若拒绝需附带原因(reason)。

3.参数配置

可以直接看官方文档:https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/webhook/

3.1.配置文件格式

  • Webhook 模式需要一个 HTTP 配置文件,通过 --authorization-webhook-config-file=SOME_FILENAME 的参数声明。
  • 配置文件的格式使用 kubeconfig。 在该文件中,“users” 代表着 API 服务器的 Webhook,而 “cluster” 代表着远程服务。
  • 使用 HTTPS 客户端认证的配置例子:
# Kubernetes API 版本
apiVersion: v1
# API 对象种类
kind: Config
# clusters 代表远程服务
clusters:
  - name: name-of-remote-authz-service
    cluster:
      # 对远程服务进行身份认证的 CA
      certificate-authority: /path/to/ca.pem
      # 远程服务的查询 URL。必须使用 'https'。不可以包含参数。
      server: https://authz.example.com/authorize

# users 代表 API 服务器的 webhook 配置
users:
  - name: name-of-api-server
    user:
      client-certificate: /path/to/cert.pem # 要使用的 webhook 插件的证书
      client-key: /path/to/key.pem          # 与证书匹配的密钥

# kubeconfig 文件必须有 context。需要提供一个给 API 服务器。
current-context: webhook
contexts:
- context:
    cluster: name-of-remote-authz-service
    user: name-of-api-server
  name: webhook

3.2.请求载荷

  • 在做认证决策时,API 服务器会 POST 一个 JSON 序列化的 authorization.k8s.io/v1beta1 SubjectAccessReview 对象来描述这个动作。
  • 这个对象包含了描述用户请求的字段,同时也包含了需要被访问资源或请求特征的具体信息。
// 请求SubjectAccessReview:资源类
{
  "apiVersion": "authorization.k8s.io/v1beta1",
  "kind": "SubjectAccessReview",
  "spec": {
    "resourceAttributes": {
      "namespace": "kittensandponies",
      "verb": "get",
      "group": "unicorn.example.org",
      "resource": "pods"
    },
    "user": "jane",
    "group": [
      "group1",
      "group2"
    ]
  }
}

// 请求SubjectAccessReview:非资源类
{
  "apiVersion": "authorization.k8s.io/v1beta1",
  "kind": "SubjectAccessReview",
  "spec": {
    "nonResourceAttributes": {
      "path": "/debug",
      "verb": "get"
    },
    "user": "jane",
    "group": [
      "group1",
      "group2"
    ]
  }
}

3.3.请求响应

// 响应:通过授权
{
  "apiVersion": "authorization.k8s.io/v1beta1",
  "kind": "SubjectAccessReview",
  "status": {
    "allowed": true
  }
}

// 响应:未通过授权,但未显式拒绝,如果还有其他授权服务,会继续调用
{
  "apiVersion": "authorization.k8s.io/v1beta1",
  "kind": "SubjectAccessReview",
  "status": {
    "allowed": false,
    "reason": "user does not have read access to the namespace"
  }
}

// 响应:未通过授权,并且显式拒绝,如果还有其他授权服务,不会再继续调用
{
  "apiVersion": "authorization.k8s.io/v1beta1",
  "kind": "SubjectAccessReview",
  "status": {
    "allowed": false,
    "denied": true,
    "reason": "user does not have read access to the namespace"
  }
}

4.实操案例

Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 3528
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
Kubernetes WebHook 入门 -- 入门案例: apiserver 接入 github
aifeier的博客
01-09 3171
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
Kubernetes控制平面组件API Server RBAC授权机制 详解
a1369760658的博客
02-23 1132
本文主要对kubernetes的控制面组件API Server 授权机制中的RBAC进行详细介绍,包括RBAC的设计理念、在kubernetes中的优化改造、完整运作流程、使用案例、最佳实践、生产中常遇到的陷阱等
Kubernetes控制平面组件API Server Node 授权机制 详解
a1369760658的博客
02-24 1037
本文主要对kubernetes的控制面组件API Server 授权机制中的 Node 授权机制进行详细介绍,涵盖Node机制基础概念、设计理念、实现原理、授权流程、参数配置及实操案例等
Kubernetes控制平面组件APIServer 基于 Webhook Toeken令牌 的认证机制详解
a1369760658的博客
02-22 1053
本文主要对kubernetes API Server 认证机制中的 Webhook令牌 认证进行介绍,包括Webhook令牌的设计理念、实现原理、认证流程、实操案例,还对 Operator Webhook 进行了异同辨析,最后给出了API Server集成企业认证系统的完整流程
Kubernetes控制平面组件APIServer 准入控制机制详解
a1369760658的博客
04-13 1101
本文主要对kubernetes的控制面组件API Server 的准入控制进行详细介绍,涵盖准入控制的基础概念、与认证授权的辨析、常见插件、自定义插件开发流程、mutatingwebhookconfigurations实操案例等
Kubernetes控制平面组件API Server详解(一)
a1369760658的博客
02-23 923
本文是kubernetes的控制面组件API Server详解(一),首先总览了API Server的整个处理流程,然后对 请求超时限制、authentication认证、audit审计日志、impersonation模拟用户 模块分别进行了详细介绍。希望大家多多 点赞 关注 评论 收藏,作者会更有动力继续编写技术文章
Kubernetes控制平面组件API Server ABAC 授权机制 详解
a1369760658的博客
02-24 982
本文主要对kubernetes的控制面组件API Server 授权机制中的 ABAC 机制进行详细介绍,涵盖ABAC基础概念、Kubernetes 对 ABAC 的优化改造、ABAC设计原理、参数配置及实操案例
Kubernetes控制平面组件API Server代码基础概念
a1369760658的博客
04-20 922
本文主要对kubernetes的控制面组件API Server的代码阅读做一些前置准备,包括apimachinery项目的定位和核心包的介绍,API Server代码的一些基础操作,subresource概念、apiserver代码走读的关键点等。希望大家多多 点赞 关注 评论 收藏,作者会更有动力继续编写技术文章
Kubernetes控制平面组件API Server详解(二)
a1369760658的博客
04-19 1114
本文是kubernetes的控制面组件API Server详解(二),首先总览了API Server的整个处理流程,然后对 max-in-flight限流限制、authorization授权鉴权机制、aggregator扩展apiserver机制、内置apiserver的请求转换处理和admission准入控制模块 分别进行了详细介绍。希望大家多多 点赞 关注 评论 收藏,作者会更有动力继续编写技术文章
Kubernetes高级调度技巧:自定义调度策略,提升资源利用率
![Kubernetes高级调度技巧:自定义调度策略,提升资源利用率](https://img-blog.csdnimg.cn/20190504201848236.JPG?x-oss-process=image/watermark,type_ZmFuZ3poZW5...本文首先概述了Kubernetes调度机制,并深入分
Kubernetes集群搭建】:从零开始,一步步构建Calico环境
![【Kubernetes集群搭建】:从零开始,一...本文首先介绍了Kubernetes集群的基础知识及其环境搭建所需的准备工作,包括硬件和软件要求、Docker安装与配置、以及核心组件的安装步骤。随后深入探讨了Calico网络模型,重点
面试必备:21个Kubernetes关键问题深度解析
Linux学习的那些事儿
08-22 2462
Kubernetes是当下每一位运维和开发必须掌握的关键技能。无论是在求职还是在提升工作效率方面,了解Kubernetes都显得至关重要。本文精选了21个高频Kubernetes面试问题,并提供详尽解答,帮助需要的你在面试中一鸣惊人!
【Java与Kubernetes融合】:打造弹性伸缩的Java应用架构
![【Java与Kubernetes融合】:打造弹性伸缩的Java应用架构](https://img-blog.csdnimg.cn/direct/9d28f13d92464bc4801bd7bcac6c3c15.png) # 1. Java与Kubernetes的融合背景与优势 ...Kubernetes生态系统庞大,具有良
k8s存储动态供给StorageClass
2402_88627342的博客
04-25 1587
RBAC(Role-Based Access Control,基于角色的访问控制)是一种访问控制模型,它通过将用户分配到不同的角色,并为每个角色定义权限,从而实现对资源的访问控制。这里的 k8s-sigs.io/nfs-subdir-external-provisioner 是一个常用的 NFS Provisioner,它会根据 PVC 的请求动态创建 PV,并在 NFS 共享目录下创建子目录。PV对存储系统的支持可通过其插件来实现,目前官方插件是不支持NFS动态供给的,但是我们可以用第三方的插件来实现。
【3】CICD持续集成-k8s集群中安装Jenkins-agent(主从架构)
weixin_43063624的博客
04-23 1310
LABEL maintainer rider # 指定域名解析服务 RUN echo "nameserver 8.8.8.8" >> /etc/resolv.conf # 修改centos镜像仓库地址(先备份再拷贝) RUN mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak。
当JIT遇见K8s
2401_86478612的博客
04-26 856
在云原生技术栈中,Kubernetes(K8s)已成为容器编排的事实标准,而即时编译(Just-In-Time Compilation, JIT)作为动态优化的核心技术,正与容器化基础设施碰撞出新的效能火花。两者的结合不仅重构了应用性能优化的路径,更催生了自适应资源编排与运行时智能调优的融合范式。K8s通过弹性伸缩(HPA/VPA)、服务质量(QoS)分级以及精细化资源配额管理,实现了对容器化应用的动态资源分配。例如,阿里云ACK(容器服务Kubernetes版)基于ECS和ESS构建的弹性架构,能够根据负
【k8s】sidecar边车容器
2303_78135757的博客
04-25 956
Kubernetes 提供了丰富的工具和机制来支持 Sidecar 模式的实现,例如 ConfigMap、Secret 等资源可以用于配置 Sidecar 的行为,而 Service 和 Ingress 等资源可以用于实现 Sidecar 之间的通信。Sidecar 的名称来源于摩托车的边车,它与摩托车紧密相连,为主车提供额外的功能和辅助支持。通过将关键功能(如日志收集、监控等)分离到 Sidecar 中,即使主应用程序出现故障,这些功能仍然可以正常运行,从而提高了系统的整体可靠性。
prometheus手动添加k8s集群外的node-exporter监控
最新发布
云深海阔专栏
04-27 228
2、部署endpoints、service、ServiceMonitor。ServiceMonitor的yaml文件。3、创建alertmanager报警模块。2)docker-compose部署。1、部署node-exporter。endpoints的yaml文件。service的yaml文件。1)helm方式部署。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值