了解Kubernetes三大门神之一Webhook

最新推荐文章于 2024-05-15 10:32:54 发布
最新推荐文章于 2024-05-15 10:32:54 发布
阅读量788 收藏 3
点赞数
分类专栏: Kubernetes 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happy_85/article/details/131540271
版权

在当今的云原生应用开发中,Kubernetes 已经成为了最受欢迎的容器编排平台。然而,随着容器化应用的快速增长,安全性成为了一个不容忽视的问题。为了增强 Kubernetes 集群的安全性,Admission Webhook 应运而生。本文将深入探讨 Admission Webhook,解释它的作用、工作原理以及如何部署和使用它来提高 Kubernetes 集群的安全性。

Admission Webhook是什么

从 Kubernetes v1.7 开始,引入了对外部准入控制器的支持; 它提供了两个选项,用于将自定义业务逻辑添加到 API 服务器,以便在创建对象时修改对象并验证策略。
在这里插入图片描述
当一个请求调用API Service的时候,会依次经过认证、授权和准入控制。Webhook属于准入控制的范畴。
Admission Webhook顾名思义就是一个Http回调函数,接收Request请求,通过MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook 两个特殊控制器,修改和验证相关请求内容。

工作原理和步骤

  1. 用户发送一个 Kubernetes 资源创建、更新或删除的请求;
  2. 请求到达 Kubernetes API Server;
  3. 经过认证、授权;
  4. Kubernetes API Server 将请求发送给Mutating Admission Controller 进行处理;
  5. Admission Webhook 对请求进行审查和修改,并返回处理结果给 Admission Controller;
  6. Kubernetes API Server 将请求发送给Validating Admission Controller 进行处理;
  7. Admission Webhook 对请求进行校验,并返回处理结果给 Admission Controller;
  8. Admission Controller 根据 Admission Webhook 的处理结果决定是否允许请求通过。

Admission Webhook 的优势

Admission Webhook 提供了多种优势,有助于增强 Kubernetes 集群的安全性:

  1. 动态审查和修改:Admission Webhook 可以对请求进行动态审查和修改,以确保符合安全策略和最佳实践。
  2. 强制执行策略:通过 Admission Webhook,可以强制执行一致的策略和标准,确保所有资源都符合预期的安全要求。
  3. 防止恶意操作:Admission Webhook 可以拦截恶意请求并阻止它们对 Kubernetes 集群造成安全威胁。
  4. 定制化需求:Admission Webhook 提供了灵活的定制化选项,可以根据特定的业务需求来定义审查规则和处理逻辑。

Admission Webhook如何实现

参考《Kubernetes Operator开发进阶》,做一个简单的实现,启动一个nginx实例,当执行yaml文件时将replicas从1改为3。代码在github的https://github.com/daniel-hutao/Advanced-Kubernetes-Operator中,进入ch7的application-operator/config/apps_v1_application.yaml。

apiVersion: apps.aaa.cn/v1
kind: Application
metadata:
  name: nginx-sample
  namespace: default
  labels:
    app: nginx
spec:
  deployment:
    replicas: 1
    selector:
      matchLabels:
        app: nginx
    template:
      metadata:
        labels:
          app: nginx
      spec:
        containers:
          - name: nginx
            image: nginx:1.14.2
            ports:
              - containerPort: 80
  service:
    type: NodePort
    ports:
      - port: 80
        targetPort: 80
        nodePort: 30080

通过配置,拦截创建和更新。

apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  creationTimestamp: null
  name: mutating-webhook-configuration
webhooks:
- admissionReviewVersions:
  - v1
  clientConfig:
    service:
      name: webhook-service
      namespace: system
      path: /mutate-apps-aaa-cn-v1-application
  failurePolicy: Fail
  name: mapplication.kb.io
  rules:
  - apiGroups:
    - apps.aaa.cn
    apiVersions:
    - v1
    operations:
    - CREATE
    - UPDATE
    resources:
    - applications
  sideEffects: None

具体代码看apis/apps/v1/application_webhook.go

// MutatingAdmissionWebhook的具体实现将Replicas改为3
func (r *Application) Default() {
	applicationlog.Info("default", "name", r.Name)

	if r.Spec.Deployment.Replicas == nil {
		r.Spec.Deployment.Replicas = new(int32)
		*r.Spec.Deployment.Replicas = 3
	}
}

// ValidatingAdmissionWebhook的实现,Replicas不能超过10个
func (r *Application) validateApplication() error {
	if *r.Spec.Deployment.Replicas > 10 {
		return fmt.Errorf("replicas too many error")
	}
	return nil
}

环境配置可以参考1分钟了解 Kubernetes王牌Operator,使用Kubebuilder的create webhook命令可以轻松创建一套webhook代码。

总结

Admission Webhook 是提高 Kubernetes 集群安全性的关键组件之一。通过动态审查和修改请求,它可以强制执行安全策略、防止恶意操作,并满足定制化需求。部署 Admission Webhook 需要一些配置和验证步骤,但一旦成功完成,它将为您的 Kubernetes 集群带来更高的安全性和可靠性。

参考:
Kubernetes Sidecar Container Injection
《Kubernetes Operator开发进阶》
如有侵权,请及时与我沟通。

HelloGeekCsdn
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s Webhook 使用java springboot实现webhook 学习总结
liuyij3430448的博客
07-27 3847
kubernetes利用webhook可以实现类似Java Web Filter的功能,拦截对资源的操作请求。 将操作**增强**或者**拦截验证** 创建一个Pod,可以对这个操作添加额外的配置,比如添加标签,添加容器,添加挂载等,或者验证Pod操作是不是满足某些要求,不满足则不执行等
Kubebuilder 构建 k8s-operator 实现自定义 controller 和 webhook 逻辑
ju4t_s的博客
03-05 769
首先,我们需要定义好自定义的资源,我们这里指定为App,我们希望开发团队能够声明一个App 的资源,然后由我们的自定义controller根据其配置,自动为其创建deployment、service、ingress等资源。解决前面遗留的问题。
2024年最新kubebuilder实战之七:webhook,前端面试送分题
最新发布
2401_84418883的博客
05-15 427
开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】大厂面试问深度,小厂面试问广度,如果有同学想进大厂深造一定要有一个方向精通的惊艳到面试官,还要平时遇到问题后思考一下问题的本质,找方法解决是一个方面,看到问题本质是另一个方面。还有大家一定要有目标,我在很久之前就想着以后一定要去大厂,然后默默努力,每天看一些大佬们的文章,总是觉得只有再学深入一点才有机会,所以才有恒心一直学下去。
Admission Webhook 花式玩法,骚得很
云原生实验室
05-13 435
项目由来使用 kubernetes 的同学可能或多或少会有以下的实际业务或者需求场景:为确保安全性,需要对某些资源进行删除保护,例如不允许删除 namespace、crd 定义等;根据服务画像为不同的服务设置不同的属性,这些属性基本是业务无感的,例如设置不同的超售比、设置不同的 Label 以及调度特性从而实现 io 敏感型与 io 密集型服务的反亲和调度等;针对同一个 ...
Kubernetes WebHook 入门 -- 入门案例: apiserver 接入 github
aifeier的博客
01-09 2471
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
深入理解AdmissionWebhook 1
yevvzi的博客
10-25 1524
简介 Admission webhooks 是接收准入请求http回调并且进行处理,分为两种类型: validating admission Webhook mutating admission webhook mutating admission webhook 先于validating admission Webhook被调用,可以由mutating admission ...
imageswap-webhookKubernetes的图像交换突变录取Webhook
02-12
Webhook使用Flask框架以Python编写。例现有图像定义: docker.io/nginx/nginx:latest 掉期后的图片: my-registry.example.com/nginx/nginx:latest总览先决条件Kubernetes 1.9.0或更高版本,并且启用了...
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入WebhookKubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
kubehook:基于 JWT 的 Kubernetes webhook 身份验证服务
05-30
Kubehook 是 KubernetesWebhook 服务。 它提供了一个 API 端点来生成 ,另一个代表 Kubernetes 验证令牌。 生成令牌 Kubehook 提供了一个小的 Web UI 来请求令牌: 请求令牌后,UI会说明如何使用令牌: ...
Go-GuardbyAppsCode是一个Kubernetes认证WebHook服务器
08-14
Go-Guard by AppsCode 是一个专门针对 Kubernetes 集群安全和认证的 WebHook 服务器。这个工具的主要目的是扩展 Kubernetes 的认证流程,确保只有经过验证的用户和应用程序能够访问集群资源。通过使用自定义 WebHook...
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)
01-09
kubernetes webhook image
sigs.k8s.io controller-runtime系列之六 webhook分析
qq_36407557的博客
06-22 1104
简介 之前介绍过sigs.k8s.io controller-runtime系列之五 cache分析[sigs.k8s.io controller-runtime-cache] 。 本文主要介绍pkg/webhook的源码分析。 目录结构 alias.go 为webhook常用到的obj定义别名 server.go Server结构体 // Server 是一个准入 webhook 服务器,可以为流量提供服务, 生成相关的 k8s 资源进行部署。 type Server struct { //
kube-apiserver源码-动态准入控制 admission webhook
u014152978的博客
07-06 1560
动态配置admission webhook举例(详情见官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/): apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: "pod-policy.example.com" web
Admission Webhook Part 2
yevvzi的博客
10-25 351
目标 本篇文章我们将参照官方的测试实例来一步步添加一个Admission Webhook #配置 webhook证书生成 由上节的配置我们可以看出,我们的webhook必须使用https,所以我们需要生成一个自签名的https证书, ca可以使用自定义的也可以共用apiserver的。 脚本可以参照istio的证书生成脚本: https://raw.githubusercontent.com/is...
istio 配置验证 Webhook
誓言
06-06 1732
配置验证 Webhook Istio 使用 ValidatingAdmissionWebhooks 验证 Istio 配置, 使用 MutatingAdmissionWebhooks 自动将 Sidecar 代理注入至用户 Pod ### 验证 kubectl 是否是最新版本(>= 1.10),并且 Kubernetes 服务器版本 >= 1.9。 kubectl versio...
k8s APIServer调用webhook需要域名解析吗?
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
07-12 721
APIServer webhook调用时,可以直接获取webhook podip地址,而不需要去coredns做解析,这在一定程度上做到解耦合(不依赖coredns)。 其实不止webhook,APIService(聚合API)也遵循上面的过程。 即使APIServer为静态Pod方式,由kubelet管理,创建出来的mirror Pod的spec.dnsPolicy依然为ClusterFirst,而Pod为hostNetwork网络,即Pod中的resolv.conf继承自主机,不经coredns解析
k8s sidecar开发-webhook开发
qq_36980207的博客
03-10 919
1.首先需要申请一个secret,用来在进行webhook的时候apiserver访问我们的webhook服务器的时候进行证书认证。 [ -z ${service} ] && service=logcar-service [ -z ${secret} ] && secret=logcar-secret [ -z ${namespace} ] && namespace=kube-system if [ ! -x "$(command -v openss..
kubebuilder之一:kubernetes operator工作原理
热门推荐
张成基
07-15 3万+
简介 redHat: kubernetes operator 是一种封装、部署和管理 Kubernetes 应用的方法。 我们平时 使用kubernetes API (应用编程接口)和kubectl工具在kubernetes上部署并管理kubernetes应用。 而kubernetes operator 是一种特定于(定制)应用的控制器,可以扩展kubernetes API的功能,来代表kubernetes用户进行创建、配置和管理复杂应用的实例。 它基于基本 Kubernetes 资源和控制器概念构
webhook之java实现
06-06
在Java中实现Webhook比较简单,你可以使用Spring Boot框架来实现。以下是一个简单的实现步骤: 1. 创建一个Spring Boot项目。 2. 在pom.xml文件中添加以下依赖项: ``` <groupId>org.springframework.boot ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值