webhook的证书管理

最新推荐文章于 2023-11-27 10:37:12 发布
最新推荐文章于 2023-11-27 10:37:12 发布
阅读量2k 收藏 1
点赞数
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fayeestone/article/details/119209979
版权

简介

在kubernetes中,为了保证安全要求必须使用https协议访问webhook服务器。这里就会涉及到TLS证书问题,介绍TLS证书的资料很多,基本原理就是通过公钥和私钥验证通信双方的合法身份。在使用operator SDk开发中webhook默认使用名字为webhook-server-cert的secret提供TLS证书。详细内容可以查看配置文件config/default/manager_webhook_patch.yaml中下面部分:

...
volumes:
- name: cert
  secret:
    defaultMode: 420
    secretName: webhook-server-cert

本节主要目的是弄清楚operator SDK生成webhook-server-cert的过程。

创建webhook-server-cert

在工程中搜索webhook-server-cert,可以发现是在config/certmanager/certificate.yaml中创建,相关脚本如下:

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: serving-cert  # this name should match the one appeared in kustomizeconfig.yaml
  namespace: system
spec:
  # $(SERVICE_NAME) and $(SERVICE_NAMESPACE) will be substituted by kustomize
  dnsNames:
  - $(SERVICE_NAME).$(SERVICE_NAMESPACE).svc
  - $(SERVICE_NAME).$(SERVICE_NAMESPACE).svc.cluster.local
  issuerRef:
    kind: Issuer
    name: selfsigned-issuer
  secretName: webhook-server-cert # this secret will not be prefixed, since it's not managed by kustomize

可以看到是通过类型为Certificate的资源创建的webhook-server-cert,其中dns域名使用的是webhook的service的名字$(SERVICE_NAME).$(SERVICE_NAMESPACE),这两个变量是在config/default/kustomization.yaml中定义。另外还使用了类别为Issuer的资源selfsigned-issuer,其定义如下:

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: selfsigned-issuer
  namespace: system
spec:
  selfSigned: {}

至此基本可知webhook-server-cert是由cert-manager组件的Certificate资源和Issuer资源自动创建并维护,这里又引入了一个新的问题cert-manager是什么?怎么用?

cert-manager

简介

cert-manager是一个Kubernetes插件,用于自动管理和颁发来自各种颁发源的TLS证书。它将确保证书有效和定期更新,并在到期前的适当时间尝试更新证书。详见:https://github.com/jetstack/cert-manager

解决的问题

  • k8s集群上部署的应用较多,要为每个应用的不同域名生成TLS证书,操作太麻烦;
  • 手动创建TLS证书与deployment描述文件独立存储,很容易丢失;
  • 证书过期后,需要手动执行命令重新生成证书;

部署cert manager的crd资源

kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.4.1/cert-manager.crds.yaml

查看部署的crd资源如下:

$ kubectl get crd | grep cert-manager

certificaterequests.cert-manager.io                   2021-07-27T16:09:08Z
certificates.cert-manager.io                          2021-07-27T16:09:08Z
challenges.acme.cert-manager.io                       2021-07-27T16:09:08Z
clusterissuers.cert-manager.io                        2021-07-27T16:09:09Z
issuers.cert-manager.io                               2021-07-27T16:09:09Z
orders.acme.cert-manager.io                           2021-07-27T16:09:10Z

可以看到issusers和certificates正是之前使用的资源。

部署cert manager的后台服务

kubectl apply -f https://github.com/jetstack/cert-manager/releases/download/v1.4.1/cert-manager.yaml

查看部署的service

kubectl get svc -n cert-manager
NAME                   TYPE        CLUSTER-IP       EXTERNAL-IP   PORT(S)    AGE
cert-manager           ClusterIP   10.109.162.144   <none>        9402/TCP   12m
cert-manager-webhook   ClusterIP   10.106.245.74    <none>        443/TCP    12m

cert-manager部署了cert-manager和cert-manager-webhook两个服务,而且分别对应不同的deployment。
cert-manager实际上也是一个operator,只不过它的开发时间比较早,是直接基于kubernetes client API,而非control-runtime。

查看部署的deployment

kubectl get deployment -n cert-manager
NAME                      READY   UP-TO-DATE   AVAILABLE   AGE
cert-manager              1/1     1            1           13m
cert-manager-cainjector   1/1     1            1           13m
cert-manager-webhook      1/1     1            1           13m

参考

https://cloud.tencent.com/developer/article/1402451
https://github.com/jetstack/cert-manager

fayeestone
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
开发kubernetes的webhook扩展程序之获取证书文件
windyear
06-29 2631
摘要 本文章主要介绍开发k8s的webhook扩展程序是需要做的获取证书的流程,主要参考了一个webhook程序。是对该程序的自动生成脚本 webhook-create-signed-cert.sh的简单描述。 需要TLS验证的原因 首先API服务器与其他程序通信需要保证安全性,所以他们之间要https加密通信。 webhook程序跟API服务器通信的时候可以理解为webhook程序时服务端,所...
12. Rancher Kubernetes 组件-过期 Webhook 证书轮换故障排除
05-21 359
Rancher Kubernetes 组件图。如果你的 Rancher 版本安装了rancher-webhook,某些版本创建的证书将在一年后过期。如果证书未续订,你需要轮换你的 webhook 证书
自动生成webhook组件证书
特立独行的毛毛虫的博客
01-18 1533
在开发监控operator的时候,如果项目带有webhook功能,如何部署时自动生成证书
收藏 点赞 springcloud bus git配置webhooks不生效,无法请求到monitor接口或请求成功但客户端未成功刷新
u013060359的博客
12-10 879
springcloud bus 配置完成之后,发现并未自动刷新配置文件 1、webhooks未生效可能是config服务端未增加依赖包,需要添加依赖包 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-config-monitor</artifactId> </dependency> 这个只需要添加...
python自动化脚本检测web服务证书到期时间-钉钉提前通知
weixin_42166361的博客
01-22 534
1.项目背景 服务证书到期需要更新,但如果更新滞后,会导致服务停用,所以需要监测证书的到期时间,提前几天通知相关同事及时更新证书,废话不说,直接上代码 1.1 代码结构: 1.2 settings.py: 用于存放各类变量,函数之类如: import traceback import requests url_list = ['https://www.baidu.com','https://www.google.com']#保存待检测的网站地址,用于获取证书信息 def DingDingalert(ms
Macbook 安装 rancher
长门有希的博客
05-06 1167
环境 MacBook Pro (15-inch, 2018) Monterey 12.3.1 踩坑 1 官方docker方式,在macbook和ubuntu中 会有k3s status 3的错误,导致不断重启 2 在ubuntu中用docker会有一样的错误 用vagrant部署 vagrant部署 文档参考 https://docs.rancher.cn/docs/rancher2.5/quick-start-guide/deployment/quickstart-vagrant/_index 注意可能v
cert-manager-webhook-ovh:OVH Webhook证书管理
05-09
OVH Webhook证书管理器这是的webhook解决器。先决条件版本0.11.0或更高版本(使用0.12.0进行测试):安装选择一个唯一的组名来标识您的公司或组织(例如acme.mycompany.example )。 helm install ./deploy/cert-...
k8s-mutating-webhook
03-10
3. **证书管理**:由于Webhook通信涉及安全性,通常需要使用TLS证书。可以使用Kubernetes的`CertificateSigningRequest`资源来请求由集群CA签名的证书。 4. **部署Webhook服务**:将Webhook服务作为Kubernetes ...
bitnami-docker-cert-manager-webhook:Cert Manager Webhook的Bitnami Docker映像
04-22
什么是证书管理Webhook? Cert Manager Webhook是cert-manager项目的一部分。 Cert Manager Webhook使用Webhook服务器提供对证书管理器资源的动态准入控制。 Cert-manager是Kubernetes的附加组件,用于自动管理和...
mwcexample:突变Webhook控制器测试
05-02
1. **设置测试环境**:搭建Kubernetes集群,创建必要的服务账户和证书,以使Webhook能够安全地与API服务器通信。 2. **编写测试用例**:定义各种场景,如正常情况下的资源创建、更新,以及异常情况,如无效的请求或...
基于ARM64架构CPU一键离线部署prometheus+grafana+alertmanager容器版监控系统工具
最新发布
06-18
4、支持blackbox-exporter、prometheus、grafana、alertmanager、webhook-dingtalk配置文件持久化。 5、 grafana无需手动添加datasource数据源,无需手动导入dashboard。同时也介绍了另外两个不错的模板,你也可以...
一次因kubevirt api 超时进行的kubernetes集群改进
DoloresOOO的博客
04-17 1492
kubervirt ,在k8s上管理虚拟机。 先搭建一个k8s集群,我用的1.18版本,搭建此处略过 kubevirt官方安装文档照着走就行 https://kubevirt.io/user-guide/operations/installation/ export RELEASE=v0.35.0 kubectl apply -f https://github.com/kubevirt/kubevirt/releases/download/${RELEASE}/kubevirt-operator.yaml
【EMQX】EMQX中webhook配置数据源 https以及http配置内容 规则引擎转发webhook
CTRA®王大大技术中心
05-08 1031
【EMQX】EMQX中webhook配置数据源 https以及http配置内容 规则引擎转发webhook
WebHook入门教程:快速实现自动化运维,如自动热部署、自动重启服务、自动备份数据库等等
YunWisdom
01-12 8364
WebHook入门教程 当我们向Github仓库(其他支持webhook的Git仓库都可以)Push代码后,可以通过webhook向特定URL发起一次Post请求,本篇文章所说的WebHook,就是运行在服务端的Service,当WebHook收到Git仓库的Post请求后,会根据Post请求的URI信息,执行服务端的Shell脚步,当git push ... 代码后,git仓库根据we...
Webhook端口中的自签名身份验证
EDI电子数据交换 | 知行软件
11-27 1204
有时,可能需要通过 Webhook 端口从交易伙伴处接收数据,但该交易伙伴可能需要更多的安全性,而不仅仅是用于验证入站 Webhook 请求的基本身份验证用户名/密码 – 或者您可能只想在入站 Webhook 消息上添加额外的安全层。使用 Webhook 端口的自定义响应功能,您实际上可以创建自己的 HTTP 签名身份验证逻辑,通过使用分配给请求标头的 HMAC 签名值,对入站 Webhook 请求执行一些额外的身份验证。
云原生 | Kubernetes - Webhook 模式
Trollz的博客
01-18 1569
版本兼容规则
SSL服务器证书
chun_ai_zhi_qing的博客
09-08 249
cd /ca mkdir server cd server touch openssl_csr.cnf 拷贝下面的 [ req ] #req工具需要的参数。 default_bits = 2048 distinguished_name = req_distinguished_name string_mask = utf8only default_md = sha256 [ req_distinguished_name ] #产生凭证时要输入的资料的说明。 co
【SERVER_NAME】PHP中的SERVER_NAME【原创】
一直加班的程序猿
07-14 900
今天碰到一个bug,做接口的时候,返回活动的链接,以前用的是: 1$_SERVER['SERVER_NAME'] .'/index.php/xxxxx' 结果发现前面的域名是错误的。查文档发现$_SERVER['SERVER_NAME']输出的是apache或者是nginx里面配置文件定义的SERVER_NAME比如apache的配置文件httpd.conf:
rancher 2.6.3 webhook
09-01
Rancher 2.6.3中的webhook功能是指rancher-webhook deployments在到期前30天或更短的时间内会自动更新其TLS证书。这意味着在2.6.3版本及更高版本中,你不需要手动更新webhook证书,系统会自动处理证书的续签。在旧版本的Rancher中,比如2.6.2及以下版本,你需要手动更新webhook证书,并按照以下步骤进行操作: 1. 删除旧的证书和mutatingwebhookconfigurations: - 运行命令: `kubectl delete secret -n cattle-system cattle-webhook-tls` - 运行命令: `kubectl delete mutatingwebhookconfigurations.admissionregistration.k8s.io --ignore-not-found=true rancher.cattle.io` 2. 删除rancher-webhook的Pod: - 运行命令: `kubectl delete pod -n cattle-system -l app=rancher-webhook` 这样,你就完成了更新rancher-webhook证书的步骤。请注意,在Rancher 2.6.3及更高版本中,这些步骤是不需要的,因为TLS证书会自动更新。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Rancher2.6.2证书更新--有坑需要注意](https://blog.csdn.net/laijianzong/article/details/130012981)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值