自定义admission controller(Mutating) supports kubernetes 1.24.6

已于 2023-10-11 13:33:09 修改
阅读量258 收藏
点赞数
分类专栏: K8S 文章标签: kubernetes 容器 云原生
于 2022-11-08 16:58:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joker_zhou/article/details/127638468
版权

本文使用admission的方式对开发环境的POD增加label

编写openssl.cnf

[ CA_default ]
copy_extensions = copy 
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
[req_distinguished_name]
# 国家
C = CN
# 省份
ST = Shenzhen
# 城市
L = Shenzhen
# 组织
O = Arvin
# 部门
OU = Arvin
# 域名
CN = label-namespace-env.kube-system.svc
[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
# 解析域名
DNS.1 = label-namespace-env.kube-system.svc
# 可配置多个域名,如下
DNS.2 = label-namespace-env.kube-system

生成CA秘钥

# 生成私钥,密码可以输入123456, CA机构的 私钥
openssl genrsa -des3 -out ca.key 2048
# 使用私钥来签名证书  CA机构的根证书
openssl req -new -key ca.key -out ca.csr
# 使用私钥+证书来生成公钥  CA证书的公钥(一般在系统内部基础(window,linux))
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

# 生成私钥,密码可以输入123456 ,服务器的私钥
openssl genpkey -algorithm RSA -out server/server.key
# 使用私钥来签名证书  ,服务器的根证书
openssl req -new -nodes -key server/server.key -out server/server.csr -config openssl.cnf -extensions 'v3_req'
# 使用CA颁发的证书来生成公钥 服务器的公钥
openssl x509 -req -days 3650 -in server/server.csr -out server/server.pem -CA ca.crt -CAkey ca.key -CAcreateserial -extfile ./openssl.cnf -extensions 'v3_req'
# csr格式的根证书转crt格式
openssl x509 -req -days 3650 -in server/server.csr -signkey server/server.key -out ./server/server.crt
#服务器 私钥key转pem格式
openssl rsa -in ./server/server.key -out ./server/key.pem
#创建加密秘钥,给后面Webhook的Deployment使用
kubectl create secret generic label-namespace-env-certs -n kube-system   --from-file=key.pem=server/key.pem   --from-file=cert.pem=server/server.pem

# 查看CA.CRT证书
cat ./ca.crt | base64 | tr -d '\n'

编写Webhook

这里使用 https://github.com/slok/kubewebhook 框架解析的kubernetes的API调用

package main

import (
	"context"
	"flag"
	"fmt"
	corev1 "k8s.io/api/core/v1"
	"net/http"
	"os"

	"github.com/sirupsen/logrus"
	kwhhttp "github.com/slok/kubewebhook/v2/pkg/http"
	kwhlogrus "github.com/slok/kubewebhook/v2/pkg/log/logrus"
	kwhmodel "github.com/slok/kubewebhook/v2/pkg/model"
	kwhmutating "github.com/slok/kubewebhook/v2/pkg/webhook/mutating"
	mutatingwh "github.com/slok/kubewebhook/v2/pkg/webhook/mutating"
	metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
)

type config struct {
	certFile string
	keyFile  string
}

func initFlags() *config {
	cfg := &config{}

	fl := flag.NewFlagSet(os.Args[0], flag.ExitOnError)
	fl.StringVar(&cfg.certFile, "tls-cert-file", "/etc/certs/cert.pem", "TLS certificate file")
	fl.StringVar(&cfg.keyFile, "tls-key-file", "/etc/certs/key.pem", "TLS key file")

	_ = fl.Parse(os.Args[1:])
	return cfg
}

// curl https://label-namespace-env.kube-system
func main() {
	logrusLogEntry := logrus.NewEntry(logrus.New())
	logrusLogEntry.Logger.SetLevel(logrus.DebugLevel)
	logger := kwhlogrus.NewLogrus(logrusLogEntry)
	cfg := initFlags()
	mt := kwhmutating.MutatorFunc(func(context context.Context, admission *kwhmodel.AdmissionReview, obj metav1.Object) (*kwhmutating.MutatorResult, error) {
		pod, ok := obj.(*corev1.Pod)
		if !ok {
			return &kwhmutating.MutatorResult{}, nil
		}
		fmt.Println("Admission", admission.Namespace)
		if admission.Namespace == "xxxx-dev" {
			// Mutate our object with the required annotations.
			fmt.Println("开发环境")
			if pod.Annotations == nil {
				pod.Annotations = make(map[string]string)
			}
			pod.Annotations["ENV"] = "开发环境"
		} else if admission.Namespace == "xxxx-test" {
			fmt.Println("测试环境")
			if pod.Annotations == nil {
				pod.Annotations = make(map[string]string)
			}
			pod.Annotations["ENV"] = "测试环境"
		}
		fmt.Println("AFTER:", pod)
		return &kwhmutating.MutatorResult{MutatedObject: pod}, nil
	})

	// We don't use any type, it works for any type.
	mcfg := mutatingwh.WebhookConfig{
		ID:      "labeler",
		Mutator: mt,
		Logger:  logger,
	}
	wh, err := mutatingwh.NewWebhook(mcfg)
	if err != nil {
		fmt.Fprintf(os.Stderr, "error creating webhook: %s", err)
		os.Exit(1)
	}

	// Get the handler for our webhook.
	whHandler, err := kwhhttp.HandlerFor(kwhhttp.HandlerConfig{Webhook: wh, Logger: logger})
	if err != nil {
		fmt.Fprintf(os.Stderr, "error creating webhook handler: %s", err)
		os.Exit(1)
	}
	logger.Infof("Listening on :8080")
	err = http.ListenAndServeTLS(":8080", cfg.certFile, cfg.keyFile, whHandler)
	if err != nil {
		fmt.Fprintf(os.Stderr, "error serving webhook: %s", err)
		os.Exit(1)
	}
}

简单编写Dockerfile打包应用

FROM golang:1.19
RUN cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime && echo 'Asia/Shanghai' >/etc/timezone
WORKDIR /code
RUN go env -w GO111MODULE=on
RUN go env -w GOPROXY=https://goproxy.cn,https://goproxy.io,direct
WORKDIR /workdir
COPY . .
RUN go mod tidy
RUN go build -o server-api .
CMD ["/workdir/server-api"]

编写Deployment

kind: Deployment
apiVersion: apps/v1
metadata:
  name: label-namespace-env
  namespace: kube-system
spec:
  replicas: 3
  selector:
    matchLabels:
      k8s-app: label-namespace-env
  template:
    metadata:
      labels:
        k8s-app: label-namespace-env
    spec:
      volumes:
        - name: webhook-certs
          secret:
            secretName: label-namespace-env-certs
            defaultMode: 420
      containers:
        - name: webhook
          image: 'xxxxx/xxxx/label-namespace-env:v2'
          resources: {}
          volumeMounts:
            - name: webhook-certs
              mountPath: /etc/certs
          terminationMessagePath: /dev/termination-log
          terminationMessagePolicy: File
          imagePullPolicy: IfNotPresent

Service

kind: Service
apiVersion: v1
metadata:
  name: label-namespace-env
  namespace: kube-system
spec:
  ports:
    - name: webhook
      protocol: TCP
      port: 443
      targetPort: 8080
  selector:
    k8s-app: label-namespace-env
  type: ClusterIP

编写MutatingWebhookConfiguration

apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: label-namespace-env
webhooks:
  - name: label-namespace-env.kube-system.svc #这里是webhook应用发布后的svc
    admissionReviewVersions: ["v1", "v1beta1"]
    sideEffects: None
    timeoutSeconds: 15
    #排除webhook自身
    namespaceSelector:
      matchExpressions:
      - key: remove
        operator: DoesNotExist
    #忽略错误影响 failurePolicy: Ignore
    clientConfig:
      service:
        name: label-namespace-env
        namespace: kube-system
        path: "/"
      caBundle:  #cat ./ca.crt | base64 | tr -d '\n' 命令输出的内容
    rules:
      - operations: [ "CREATE" ]
        apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["pods"]
~
joker_zhou
关注
专栏目录
centos8 + kubernetes 1.24 master/node 节点
Terry Tsang
02-06 745
kubernetes 1.24 master 安装记录
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
东城绝神
04-14 716
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(多主多从)》
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
Kubernetes Admission Controller Webhook演示 这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份运行容器,但是Webhook确保只有在Pod的securityContext runAsNonRoot设置显式设置为false ,才有可能。 如果没有为runAsNonRoot设置任何值,那么将应用默认值true ,并且用户ID默认为1234 。 先决条件 可以在其上测试该示例的集群必须运行Kubernetes 1.9.0或更高版本,并且启用了admissionregistration.k8s.io/v1beta1 API。 您可以通过观察以下命令产生的非空输出来验证: kubectl api-versions | grep
kubernetes中的Admission Controllers
weixin_33752045的博客
06-19 185
这是啥 准入控制admission controller本质上一段代码,在对kubernetes api的请求过程中,顺序为 先经过 认证 & 授权,执行准入操作,在对目标对象进行操作。这个准入代码在apiserver中,而且必须被编译到二进制文件中才能被执行。 在对集群进行请求时,每个准入控制代码都按照一定顺序执行。如果有一...
kubernetes Admission Controller 原理介绍
weixin_33737134的博客
05-24 449
Admission Controller介绍 Apiserver干的最重要的三个事就是: 认证 : 看是否是合法用户 授权 : 看用户具备哪些权限 admission controller : 一个调用链,对请求进行控制或修改,比如是否允许这个请求。 admission controller非常有用,也是经常会用到的k8s的一个扩展方式,今天在源码级别对其做一下介绍,以及如何自己去开发一个ad...
kubernetes 准入控制器Admission Controller
噜噜噜的博客
08-22 932
很多情况下我们并不希望大动干戈去改apiserver代码,所以apiserver提供了一种动态扩展admission的方式,非常推荐。 有两种类型: validating admission Webhook 只作校验,比如检测到某个特殊字段就不让请求通过 mutating admission webhook 可以对请求体进行修改(patch) 比较重要的是这个AdmissionReview结构体,包含一个请求一个响应 请求:有Object的详细信息,用户信息 响应: 最重要的是 1. 是否允.
Kubernetes 准入控制 Admission Controller 介绍
zhangshaohuas的博客
08-06 348
1.什么是Admission Controller Admission Controller(准入控制)是 Kubernetes API Server 用于拦截请求的一种手段。 Admission可以做到对请求的资源对象进行校验,修改。 service mesh最近很火的项目Istio天生支持Kubernetes,利用的就是admission对服务实例自动注入sidecar。 假如对 Kubernetes 有一定的了解的话,应该会知道在 Kubernetes 中还有 authn/authz,为什么还会引入
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署K8S 1.24.12集群(一主多从)》
东城绝神
04-14 1311
Kubernetes部署篇:Ubuntu20.04基于containerd二进制部署Kubernetes 1.24.12集群(一主多从)》
Kubernetes】解决 ingress-srv.yaml 报错 failed calling webhook “validate.nginx.ingress.kubernetes.io“
嗨Sirius
04-03 8983
问题场景 在编写 Kubernetes 的 ingress controller 入口控制器的配置文件的时候 kubectl apply -f ingress-srv.yaml 报了几个错 no matches for kind “Ingress” in version “networking.k8s.io/v1beta1” APIVersion 改成 v1 过后,pathType 又不对了 超级头痛的 ingress 内部访问错误👇🏻 Error from server (Interna
PyPI 官网下载 | mh_admission-1.1.2.dev1.tar.gz
01-13
《PyPI官网下载:mh_admission-1.1.2.dev1.tar.gz——探索Python库的发布与使用》 PyPI(Python Package Index),是Python社区的重要资源库,它为全球的Python开发者提供了丰富的第三方库,方便他们进行项目开发。...
准入控制_Kubernetes动态准入控制示例
weixin_26755329的博客
09-04 898
准入控制A walk-through of creating a webhook for Kubernetes dynamic admission control. 创建用于Kubernetes动态准入控制的Webhook的演练。 The code illustrated in this article is available for download. 本文中说明的代码可以下载 。 Wha...
【k8s】——自定义的k8s controller
汤庆
04-04 1692
一、前言 在 K8s 中当我们需要监控某个资源的变化并作一系列操作时,使用 K8s 提供的 controller 机制来实现,同时 K8s 官方提供了一个通用库client-go,通过它可以很容易实现自定义controller.Custom Resource是扩展Kubernetes的一种方式(另外一种就是通过聚合层APIapiserver-aggregation),而controller对指定的resource进行监听和执行对应的动作(watch,diff,action)。这里引申一点,我们一般来说..
Admission Controller简介
屈帅波的技术博客
03-18 1118
准入控制器介绍https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/ 动态准入控制器 https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/ 创建证书 vi ca-config.json { "signing": { "default": { .
Go使用k8s准入控制器来拒绝Latest镜像标签的yaml创建
Kason_iWiki
02-22 568
文章目录准入控制器注册准入控制器 webhook创建准入控制器服务器部署和测试结语参考链接 准入控制器 简而言之,Kubernetes准入控制器是管理和强制执行集群使用方式的插件。它们可以被认为是拦截(经过身份验证的)API 请求并可能更改请求对象或完全拒绝请求的看门人。准入控制过程有两个阶段:首先执行变更阶段,然后是验证阶段。 Kubernetes 准入控制器阶段: 准入控制器是一个软件,它在对象(如 Pod、Deployment、Service 等 k8s 资源) etcd 数据库中持久化之前,但在请
kubernetes安全机制--Admission Control 准入控制
二哈欢乐多的博客
02-04 411
引言 当请求通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。Admission Control 有一个准入控制列表,我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。 为什么需要Admission Control 在kubernetes中,一些高级特性正常运行的前提条件为,将一些准入模块处于enable状态。总结下,对于kubernetes apiserver,如果不适当
深入解析Kubernetes admission webhooks
期待幸福
07-11 1002
admission controllers的特点:下图,显示了用户操作资源的流程,可以看出 admission controllers 作用是在通过身份验证资源持久化之前起到拦截作用。在准入控制器的加入会使kubernetes增加了更高级的安全功能。这里找到一个大佬博客画的图,通过两张图可以很清晰的了解到admission webhook流程,与官方给出的不一样的地方在于,这里清楚地定位了kubernetes admission webhook 处于准入控制中,RBAC之后,push 之前。根据官方提供的说
controlPlaneEndpoint: "kubernetes.example.com:6443" # 控制平面节点的访问地址 etcd: external: endpoints: - https://etcd1.example.com:2379 - https://etcd2.example.com:2379 - https://etcd3.example.com:2379 caFile: /etc/kubernetes/pki/etcd/ca.crt certFile: /etc/kubernetes/pki/etcd/server.crt keyFile: /etc/kubernetes/pki/etcd/server.key networking: podSubnet: 10.244.0.0/16 # Pod 网络子网段 apiServer: extraArgs: enable-admission-plugins: "NamespaceLifecycle,NodeRestriction,LimitRanger,ServiceAccount,DefaultStorageClass,ResourceQuota" service-account-issuer: kubernetes.default.svc service-account-key-file: /etc/kubernetes/pki/sa.key controllerManager: extraArgs: cluster-signing-cert-file: /etc/kubernetes/pki/ca.crt cluster-signing-key-file: /etc/kubernetes/pki/ca.key scheduler: extraArgs: address: 0.0.0.0 dns: type: CoreDNS
最新发布
07-15
这个配置文件是一个 Kubernetes 集群的初始化配置文件,包含了一些关键的配置选项。 `controlPlaneEndpoint` 指定了控制平面节点的访问地址,其中 "kubernetes.example.com" 是访问地址,端口为 6443。 `etcd` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值