ValidatingWebhookConfiguration

于 2024-08-12 08:28:17 发布
阅读量213 收藏 3
点赞数 1
分类专栏: K8s 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hezuijiudexiaobai/article/details/141065034
版权

https://kubernetes.io/zh-cn/docs/reference/kubernetes-api/extend-resources/validating-webhook-configuration-v1/

这是一个 Kubernetes 的 ValidatingWebhookConfiguration 资源的 YAML 定义,它用于配置验证 webhook。Webhook 是 Kubernetes 中的一种动态拦截器,可以在资源对象的创建、更新或删除之前或之后触发。验证 webhook 用于对资源对象进行校验,确保它们符合特定的规范或约束。

下面是对这个 YAML 文件中关键部分的解释:

  • kind: ValidatingWebhookConfiguration:指定了这个资源是 ValidatingWebhookConfiguration 类型。

  • metadata:包含了资源的元数据,如创建时间、版本、标签等。这些标签通常用于标识资源的用途或归属。

  • webhooks:这是一个列表,包含了一个或多个 webhook 配置。每个 webhook 定义了如何与外部服务通信以进行资源验证。

    • admissionReviewVersions:指定了这个 webhook 支持的版本,这里是 v1beta1v1

    • clientConfig:定义了如何连接到 webhook 服务。

      • caBundle:包含了用于验证 webhook 服务 TLS 证书的 CA 证书。
      • service:定义了 webhook 服务的名称、命名空间、路径和端口。在这个例子中,服务名称是 istiod,命名空间是 qfusion,路径是 /validate,端口是 443

    • failurePolicy:定义了如果 webhook 服务失败时的策略。这里是 Fail,意味着如果 webhook 服务失败,请求将被拒绝。

    • matchPolicy:定义了如何选择应用这个 webhook。这里是 Equivalent,意味着只有当 namespaceSelectorobjectSelector 都匹配时才应用。

    • name:为这个 webhook 定义了一个名称,这里是 rev.validation.istio.io

    • namespaceSelectorobjectSelector:定义了选择器来确定 webhook 应该应用于哪些命名空间或对象。在这个例子中,objectSelector 指定了只对带有标签 istio.io/rev: default 的对象应用 webhook。

    • rules:定义了 webhook 应该应用于哪些 API 组、版本、操作和资源。在这个例子中,它适用于 security.istio.ionetworking.istio.iotelemetry.istio.ioextensions.istio.io 这些 API 组的所有版本和资源,操作包括 CREATEUPDATE

    • sideEffects:描述了 webhook 是否有副作用。这里是 None,意味着没有副作用。

    • timeoutSeconds:定义了 webhook 请求的超时时间,这里是 10 秒。

这个特定的 ValidatingWebhookConfiguration 是为 Istio 的 istiod 服务配置的,用于验证 Istio 资源对象是否符合预期的规范。通过这种方式,Istio 可以确保在 Kubernetes 集群中部署的服务网格资源是有效的,并且符合安全和配置要求。

喝醉酒的小白
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
admission-control:编写Kubernetes准入控制器的有用的微框架:magnifying_glass_tilted_right::admission_tickets:
04-30
提供示例Deployment , Service和ValidatingWebhookConfiguration定义供您构建,并提供作为其他指导。 故障排除 贡献 执照 使用框架 内置的AdmitFuncs 准入控制提供了许多有用的内置AdmitFunc ,包括: ...
k8s-template
04-19
NodeJS,Express,Mongoose的REST API 进入端口80怎么跑# enable ingress on minikubeminikube addons enable ingresskubectl delete -A ValidatingWebhookConfiguration ingress-nginx-admission# create custom ...
ValidatingWebhookConfiguration 设计说明
多头注意力探索Now
09-08 773
路由验证配置回调hook在K8s上的使用说明
k8s学习-kubectl命令常用选项详解与实战_validatingwebhookconfiguration(2)
2401_84281698的博客
05-08 412
外链图片转存中…(img-XIOA207o-1715105437932)][外链图片转存中…(img-3ISzVAfL-1715105437933)][外链图片转存中…(img-vx70MY0m-1715105437933)][外链图片转存中…(img-VJnORnfw-1715105437934)][外链图片转存中…(img-snC3pVSk-1715105437935)][外链图片转存中…(img-SvYzzorx-1715105437935)]
k8s学习-kubectl命令常用选项详解与实战_validatingwebhookconfiguration(1)
2401_84281588的博客
05-02 607
CRDs.查看yaml文件metadata:spec:查看pod。
k8s学习-kubectl命令常用选项详解与实战_validatingwebhookconfiguration
2401_84281588的博客
05-02 923
查看资源的更多信息可以看到ip等信息。
Kubernetes - Ingress暴露应用(四)
MinggeQingchun的博客
08-23 1468
LB方式最大的缺点则是每个service一个LB又有点浪费和麻烦,并且需要k8s之外的支持;Kubernetes集群中的各个服务之间访问的端口,虽然mysql容器暴露了3306端口,但外部机器不能访问到mysql服务,因为他没有配置NodePort类型,该3306端口是集群内其他容器需要通过3306端口访问该服务。NodePort服务是让外部请求直接访问服务的最原始方式,NodePort是在所有的节点(虚拟机)上开放指定的端口,所有发送到这个端口的请求都会直接转发到服务中的pod里。
云原生|kubernetes部署和运行维护中的错误汇总(不定时更新)
zsk_john的技术分享专用博客
08-29 3692
两个文件都写了initial初始化,就冲突啦,而etcd-3.3以及之前的版本不会报错,两个文件可以重复配置。
k8s学习-kubectl命令常用选项详解与实战
关注网络安全、云原生安全
05-08 4725
目录概述语法资源类型输出选项实战基本命令creategeteditdelete集群管理cluster-infotopcordon && uncordondraintaint高级命令applyreplace故障诊断和调试describelogsexec设置命令label其他命令version参考 概述 语法 kubectl [command] [TYPE] [NAME] [flags] command: 指定要对资源执行的操作,例如,create、get、describe和delete
k8s Webhook 准入控制应用实践
爱死亡机器人
01-06 1803
背景 除了内置的 admission 插件, 准入插件可以作为扩展独立开发,并以运行时所配置的 Webhook 的形式运行。 此页面描述了如何构建、配置、使用和监视准入 Webhook 什么是准入 Webhook? 准入 Webhook 是一种用于接收准入请求并对其进行处理的 HTTP 回调机制。 可以定义两种类型的准入 webhook,即 验证性质的准入 Webhook 和 修改性质的准入 Webhook。 修改性质的准入 Webhook 会先被调用。它们可以更改发送到 API 服务器的对象以执行自定义的
k8s 对外服务之ingress
MrLee的博客
07-17 1732
Ingress公开了从集群外部到集群内services的HTTP和HTTPS路由。流量路由由Ingress资源上定义的规则控制。一种全局的、为了代理不同后端Service而设置的负载均衡服务,就是Kubernetes里的Ingress服务。•Ingress由两部分组成Ingresscontroller和Ingress服务。•IngressController会根据你定义的Ingress对象,提供对应的代理能力。...
Linux磁盘管理与文件系统(一):磁盘、MBR与分区和文件系统
shyuu的博客
08-08 986
Linux磁盘管理与文件结构(一),理论讲解磁盘结构、MBR与分区和文件系统
haproxy算法与具体实现
最新发布
K1487994142的博客
08-11 609
负载均衡:Load Balance,简称LB,是一种服务或基于硬件设备等实现的高可用反向代理技术,负载均 衡将特定的业务(web服务、网络流量等)分担给指定的一个或多个后端特定的服务器或设备,从而提高了 公司业务的并发处理能力、保证了业务的高可用性、方便了业务后期的水平动态扩展。
Falsk测试与部署(第九阶段)
蜡笔小新星的博客
08-09 618
在本章节中,我们学习了如何使用unittest和pytest进行单元和集成测试,以及如何配置Flask应用,使用WSGI服务器部署,容器化Flask应用并将其部署到各种云服务平台。通过这些步骤,你可以确保你的Flask应用在生产环境中的稳定性和可靠性。希望这些知识能够帮助你在实际项目中更好地实现测试和部署。
Centos7.6配置阿里云镜像源
ZHOUY@H
08-09 135
1、备份本地镜像源,将/etc/yum.repos.d/下所有文件备份到/etc/yum.repos.d/bak/下。3、清除yum缓存-yum clean all。4、验证镜像源仓库 yum repolist。
Vue项目通过宝塔部署之后,页面刷新后浏览器404页面
水w的博客
08-07 290
Vue项目通过宝塔部署之后,页面刷新后浏览器404页面
zabbix的自动发现和注册、proxy代理和SNMP监控
Alone8046的博客
08-09 302
二、zabbix通过代理服务器添加主机:分布式监控,代理服务器的作用就是分担 server 的集中式压力;先有服务器,再有模版,模版当中设置应用集,模版当中设置应用集,再应用集中配置监控项,在监控项之后配置触发器,最后配置图形(可选项)zabbix proxy(代理服务器):代理服务器也要安装数据库,保存客户端的数据,然后再发送给服务端(代收器)zabbix客户端主动的和服务端联系,将自己的地址和端口发送给服务端,实现自动添加监控主机。snmp:简单网络管理协议,用来监控网络设备,可以监控交换机和路由器。
什么是DNS缓存?DNS缓存有哪些作用和危害?
weixin_53018687的博客
08-08 554
DNS查询的过程比较复杂,如果每次访问网站都进行一次全球的迭代查询,就会产生较大的时延,影响用户的上网体验,于是DNS系统中引入的缓存机制。网站被劫持:DNS缓存还可能成为网络攻击的目标,攻击者利用DNS缓存中的漏洞来篡改DNS查询结果,将用户重定向到恶意网站或进行其他非法活动,会对用户的信息财产安全以及网站的业务开展造成严重危害。数据不准确:DNS缓存的信息并不是实时更新的,如果某个网站的IP地址发生了变化,DNS缓存中的信息还没有来得及更新,那么用户就可能无法访问到最新的网站内容。
ValidatingWebhookConfiguration namespaceselector MatchExpressions示例
06-08
以下是一个示例,演示了如何在 ValidatingWebhookConfiguration 中使用 namespaceSelector 的 MatchExpressions 字段。 假设我们有三个命名空间:namespace1、namespace2 和 namespace3。我们希望验证 Webhook 只处理具有标签 app=example 的命名空间。我们可以使用以下 YAML 配置文件: ``` apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: example-webhook webhooks: - name: example.validator.com namespaceSelector: matchExpressions: - key: app operator: In values: - example rules: - apiGroups: [""] apiVersions: ["v1"] operations: ["CREATE", "UPDATE"] resources: ["pods"] failurePolicy: Fail ``` 在这个示例中,我们使用 `namespaceSelector` 指定了 `MatchExpressions` 字段,表示我们将使用标签选择器来选择要处理的命名空间。`key` 指定了我们要选择的标签名称,`operator` 指定了匹配模式,`values` 指定了我们要匹配的标签值。在这个示例中,我们使用了 `In` 操作符,表示只要命名空间中的 `app` 标签的值为 `example` 中的任何一个,就会被选择。 当 `namespaceSelector` 中的 `MatchExpressions` 字段定义为上述示例中的方式时,只有具有标签 app=example 的命名空间中的资源才会被 ValidatingWebhookConfiguration 处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值