Kubernetes 开发【1】——webhook 实现 API Server 请求拦截和修改

已于 2022-08-15 18:30:32 修改
阅读量1.3k 收藏 1
点赞数
分类专栏: 容器 golang学习之路 Kubernetes二次开发 文章标签: 云原生 kubernetes golang 容器 devops
于 2022-08-04 11:28:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingu_crimson/article/details/126145938
版权

目录

技术背景

什么是admission controller?

应用场景

具体实现

代码结构

签发证书

创建对象 

测试api

技术背景

什么是admission controller?

admission controller是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器编译进 kube-apiserver 可执行文件,并且只能由集群管理员配置。

这有点类似于插件的概念,官方提供了一系列的插件来帮助我们实现一些api层面的简单处理:

使用准入控制器 | Kubernetes

我们也可以通过自己编写一段代码二次开发来实现更为高级更为复杂的需求,

官方有具体的实例,该实例的用途是

only allow pods to pull images from specific registry.

即仅允许pod从指定的镜像仓库拉取image,否则apiserver将会拒绝本次请求。

应用场景

从运维角度,我们也可以借此约束非集群管理员的某些行为来实现安全运维的目的,或者通过admission controller的另外一个用途:修改请求,通过自动为k8s声明式的api自动注入配置规则,为非集群管理员的一些非约性的apply行为解绑。

举几个简单场景:

1.开发人员可能只有对应namespace下deployment的create,upduate,delete权限,,我们通过自动注入私仓的dockerconfig.json的secret对象作为imagePullSecret,来让开发人员尽可能少关注与应用本身描述无关的,诸如此类的配置选项。

2.传统微服务架构依赖注册中心,因此在pod终止时如何从注册中心下线来实现优雅停机成为了问题,为了实现低代码侵入,将这部分问题的解决下沉到运维层面,我们可以使用k8s提供prestop机制来实现pod在收到sigterm信号之前就处理掉这个问题。

具体实现

接下来我们来看具体实现

代码结构

.
├── go.mod
├── go.sum
├── lib
│   ├── config.go //用于配置tls证书和密钥
│   ├── convert.go //将具体的error转换成webhook回调返回的对象
│   ├── pods.go //输入请求对象,return一个返回对象,需要我们在其中实现判断逻辑
│   └── schema.go //存放了用于将byte转换成请求对象的反序列化器
├── main.go //http server并配置tls,反序列化后调用pods.go获得返回对象

其中的大部分代码都可以在kubernetes/main.go at release-1.21 · kubernetes/kubernetes · GitHub 

中获取到。

main.go中httpserver的handler:

http.HandleFunc("/pods", func(writer http.ResponseWriter, request *http.Request) {
	var body []byte
	if request.Body != nil {
		if data, err := ioutil.ReadAll(request.Body); err == nil {
			body = data
		}
	}
	//第二步
	reqAdmissionReview := v1.AdmissionReview{} //请求
	resAdmissionReview := v1.AdmissionReview{  //响应 ---完整的对象在 https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers/#response
		TypeMeta: metav1.TypeMeta{
			Kind:       "AdmissionReview",
			APIVersion: "admission.k8s.io/v1",
		},
	}
	//第三步,把body decode成对象
	deserializer := lib.Codecs.UniversalDeserializer()
	if _, _, err := deserializer.Decode(body, nil, &reqAdmissionReview); err != nil {
		resAdmissionReview.Response = lib.ToV1AdmissionResponse(err)
	} else {
		resAdmissionReview.Response = lib.AdmitPods(reqAdmissionReview)
	}

	resAdmissionReview.Response.UID = reqAdmissionReview.Request.UID
	marshal, _ := json.Marshal(resAdmissionReview)
	writer.Write(marshal)
})

签发证书

完成编码后,我们需要生成假证书,可以通过cfssl工具生成,参考下面这篇文章:

手把手-安装-cfssl - 光速狼 - 博客园

 这里说下大概的步骤——

1.创建ca配置文件 (ca-config.json)

"ca-config.json":可以定义多个 profiles,分别指定不同的过期时间、使用场景等参数;后续在签名证书时使用某个 profile;

"signing":表示该证书可用于签名其它证书;生成的 ca.pem 证书中 CA=TRUE

{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "server": {
        "usages": ["signing"],
        "expiry": "87600h"
      }
    }
  }
}

2.创建ca证书签名(ca-csr.json)

{
  "CN": "Kubernetes", //SelfSignedCA
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "zh",
      "L": "bj",
      "O": "bj",
      "OU": "CA"
   }
  ]
}

3.生成ca证书和私钥

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

——生成ca私钥 ca-key.pem 和 ca公钥ca.pem

4.创建服务端证书签名(server-csr.json)

        ——这个服务端可以是etcd,docker,apiserver等

{
  "CN": "admission", //etcd
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "zh",
      "L": "bj",
      "O": "bj",
      "OU": "bj"
    }
  ]
}

5.生成服务端证书server.pem和私钥server-key.pem,也就是签发证书

cfssl gencert \
  -ca=ca.pem \
  -ca-key=ca-key.pem \
  -config=ca-config.json \
  -hostname=myhook.ops.svc \
  -profile=server \
  server-csr.json | cfssljson -bare server

注意hostname与service的fqdn域名相对应。

创建对象 

1.cat ca.pem | base64

获取ca公钥填入admission webhook资源yaml的cabundle

apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: myhook
webhooks:
  - clientConfig:
      caBundle: |
        LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURoakNDQW02Z0F3SUJBZ0lVZU41ZU5td29t
        RXZMREFvSUpnYjhTVUZUandFd0RRWUpLb1pJaHZjTkFRRUwKQlFBd1NURUxNQWtHQTFVRUJoTUNl
        bWd4Q3pBSkJnTlZCQWNUQW1KcU1Rc3dDUVlEVlFRS0V3SmlhakVMTUFrRwpBMVVFQ3hNQ1EwRXhF
        ekFSQmdOVkJBTVRDa3QxWW1WeWJtVjBaWE13SGhjTk1qSXdPREF5TURJeU56QXdXaGNOCk1qY3dP
        REF4TURJeU56QXdXakJKTVFzd0NRWURWUVFHRXdKNmFERUxNQWtHQTFVRUJ4TUNZbW94Q3pBSkJn
        TlYKQkFvVEFtSnFNUXN3Q1FZRFZRUUxFd0pEUVRFVE1CRUdBMVVFQXhNS1MzVmlaWEp1WlhSbGN6
        Q0NBU0l3RFFZSgpLb1pJaHZjTkFRRUJCUUFEZ2dFUEFEQ0NBUW9DZ2dFQkFMVk5rY1pUcWpkdHJD
        Yzh3YkhqMXlVejhucHl2QkVECkJxNmFyZElOU2NBRldyT0wzNVRJVmNOZnFQRWlhbkxhbjJsbkFG
        dWp1UE9WaFhYOS9CMzhoSkU1QjJBeXhTYXgKYzdxM1lUWnpYS0xsQ2c1UVc0Wlk2SVFVdTdGbHZ2
        T0RIRjEyNTl6OEd4dGFsdjQ1Z0pYSDV5Nnp4WlNBMEJxZgpURnR3bHFRb1krMVN3QkhtZ2lBRWpX
        ekxZV0cydHVRRndkZW9YR2tWd0Y2dkwzM1NoM09yb1ZHQTQ2aVRiMUdKCkgxenBKNWpVYlpZbFAx
        SFVta0R4dnF1NDJJaGJnN1lPNWIvUktMaWpvVVJza0p2d1dzb3dvVU03dU1GSllrdUsKdFc3MlJ3
        S1UwNnoxN20xUmxZZlpzWkt2NU9ONjd3RlR4M0plQUlTcno1OHBKN2cwaUwySTh0MENBd0VBQWFO
        bQpNR1F3RGdZRFZSMFBBUUgvQkFRREFnRUdNQklHQTFVZEV3RUIvd1FJTUFZQkFmOENBUUl3SFFZ
        RFZSME9CQllFCkZPWWRwMzJkL09VanM0VkpMMDZyRTJtZlAwZkZNQjhHQTFVZEl3UVlNQmFBRk9Z
        ZHAzMmQvT1VqczRWSkwwNnIKRTJtZlAwZkZNQTBHQ1NxR1NJYjNEUUVCQ3dVQUE0SUJBUUFrYXVN
        T01OQU9DTUN2QmFqR0JhYUhXRFpBekdvTAo5cHJhWWRDWEwvQkw4Z25qczJsZmRjcWZZclpUM3pY
        Q3IzNXlmUEJSZitNUFRtKzdlQkF5bHlCeWlNK0xPcDRMCkM5MEVWT2NUM0hxK2EvUlBURjJEbmxB
        emwva1JkMGN3RFM2WTdLUGovQWxlc3FzVUNQVXVLbVlnb3hadmNqa04KU1NYVEs4VWk2Vncyekd2
        MzU5bFR0QjA3Y3paZjhYR09xeEZpQi9tUUVERldOOGxxYkF3b2k1NHVZbHlsaXowcApyWFp0cHhy
        N0tza0dHb08rcTVEdTRwVnZUNlFUakd6NzNlYktacnRieURsbzBnbDdCZmxPTHBEM1d0WWw0b3N4
        CmlYZ3NYaVNxdmNUcEkrbGJLNUQ3dlMrS1pybXpmaFozWWRWdW9mR083UCtsMFUwKzZaUytjMi9v
        Ci0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K
      service:
        name: myhook
        namespace: ops
        path: /pods
    failurePolicy: Fail
    sideEffects: NoneOnDryRun
    name: myhook.xxx.com
    admissionReviewVersions: ["v1", "v1beta1"]
    namespaceSelector: 
      matchExpressions:
        - key: env
          operator: In
          values: ["prod", "pre", "dev", "test"]
    rules:
      - apiGroups:   [""]
        apiVersions: ["v1"]
        operations:  ["CREATE"]
        resources:   ["pods"]

 ——service对应webhook的service,namespaceSelector通过label限定作用域命名空间,rules匹配GVK。

2.把上一节生成服务端私钥和证书创建成tls类型的secret

kubectl create secret tls myhook --cert=server.pem --key=server-key.pem  -n ops

3.在我们的webhook代码里添加tls认证

tlsConfig := lib.Config{
	CertFile: "/etc/webhook/certs/tls.crt",
	KeyFile:  "/etc/webhook/certs/tls.key",
}

server := http.Server{
	Addr:      ":443",
	TLSConfig: lib.ConfigTLS(tlsConfig),
}

err := server.ListenAndServeTLS("", "")
if err != nil {
	panic(err)
}

通过交叉编译我们得到myhook可执行文件。

CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build

4. 创建webhook deployment(仅测试用,需要指定节点)

apiVersion: apps/v1
kind: Deployment
metadata:
  name: myhook
  namespace: ops
spec:
  replicas: 1
  selector:
    matchLabels:
      app: myhook
  template:
    metadata:
      labels:
        app: myhook
    spec:
      nodeName: k8s1
      containers:
        - name: myhook
          image: alpine:3.12
          imagePullPolicy: IfNotPresent
          command: ["/app/myhook"]
          volumeMounts:
            - name: hooktls
              mountPath: /etc/webhook/certs
              readOnly: true
            - name: app
              mountPath: /app
          ports:
            - containerPort: 443
      volumes:
        - name: app
          hostPath:
            path: /root/app
        - name: hooktls
          secret:
            secretName: myhook
---
apiVersion: v1
kind: Service
metadata:
  name: myhook
  namespace: ops
  labels:
    app: myhook
spec:
  type: ClusterIP
  ports:
    - port: 443
      targetPort: 443
  selector:
    app: myhook

——把服务端证书和私钥通过secret的方式挂在到容器里,并通过443端口对外提供服务。

测试api

最后可以通过apply一个新的pod来测试是否通过webhook的验证规则,如果未通过,则不会继续持久化对象。如果通过,则会触发对apiserver的回调。

% kubectl apply -f newpod.yaml 
Error from server: error when creating "newpod.yaml": admission webhook "myhook.xxx.com" denied the request: container's image must be from private hub.

常鱼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
kubernetes开发自定义webhook
记录成长,分享收获。
06-24 1034
这篇文章将带着我们从头开始部署自己的webhook。本文适合对kuberneteswebhook有一定认知和了解的读者,帮助读者快速部署自己的webhook,话不多说直接开始。
【Spark Operator】webhook的NamespaceSelector和ObjectSelector
runzhliu大数据/容器日记
12-31 643
之前走读 Spark Opeartor Webhook 部分的代码的时候发现,因为业务种类很多,我们需要在 webhook 层加很多参数和配置来控制用户的一些行为但是发现原生的 Spark Operator 只接受 NamespaceSelector 也就是这种行为的控制职能针对一个命名空间的对象。这个范围对我们来说有点太大了,我们喜欢更精细一点去控制 Webhook 的效果,所以这里可以通过修改 Webhook,引入 ObjectSelector 来控制。修改 spark-operator webhook
推荐一个强大的Laravel Webhook管理工具:laravel-webhook-server
最新发布
gitblog_00079的博客
05-17 265
推荐一个强大的Laravel Webhook管理工具:laravel-webhook-server 项目地址:https://gitcode.com/spatie/laravel-webhook-server Webhook是一种应用程序间通信的实用方式,通过HTTP请求传递信息以响应特定事件。对于开发人员来说,有效地管理和发送webhook至关重要。这就是为何我们想要向您介绍一个由Spatie制...
【Spark Operator】webhook的分析
runzhliu大数据/容器日记
08-03 657
spark operator 是支持 webhook 的,也就是说,可以通过 webhook 来给 spark operator 创建的 pod 加上如 NodeSelector, PodAffinity, InitContainer 等特性。这在原生的 Spark 里只能通过配置 Pod Template 来做,个人觉得 Pod Template 不如 webhook 方便,而且 Spark 的逻辑里没有对 Pod Template 进行语法的校验。 但是目前 // NamespaceSelector
go-webhook-server:一个简单的服务器,用于接收webhook和执行命令
01-30
webhook服务器 一个简单的服务器,用于接收Webhook和执行命令 安装 从Go安装: $ go get -u github.com/miguelmota/go-webhook-server/cmd/gws 安装预编译的二进制文件: $ wget https://github.com/miguelmota/go-webhook-server/releases/download/v0.0.9/gws_0.0.9_Linux_x86_64.tar.gz $ tar -xvzf gws_0.0.9_Linux_x86_64.tar.gz gws $ chmod +x gws $ sudo mv gws /usr/local/bin/gws 用法 $ gws --help 入门 设置 Webhook的示例: $ export SECRET_TOKEN=mysecret $ gws -port=8080 -path=/postreceive -command= ' echo "hello world" ' Method: GET Path: /postreceive Comman
Kubernetes WebHook 入门 -- 入门案例: apiserver 接入 github
aifeier的博客
01-09 2471
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
kuberneteswebhook开发(一篇搭好开发架构)
weixin_40965647的博客
08-02 905
webhookkuberneteswebhook开发实例 介绍 Webhook就是一种HTTP回调,用于在某种情况下执行某些动作,Webhook不是K8S独有的,很多场景下都可以进行Webhook,比如在提交完代码后调用一个Webhook自动构建docker镜像 K8S中提供了自定义资源类型和自定义控制器来扩展功能,还提供了动态准入控制,其实就是通过Webhook实现准入控制,分为两种:验...
k8s 证书之ca-csr.json,ca-config.json
weixin_30375427的博客
05-22 3646
这是后面生成的所有证书的基础。 但如果是公司内使用,使用基于这些证书生成的ca, 在保证安全性的情况下,可以更方便的部署。 ca-csr.json { "CN": "kubernetes", "key": { "algo": "rsa", "size": 2048 }, "ca": { "expiry": "438000h" ...
自动生成webhook组件证书
特立独行的毛毛虫的博客
01-18 1507
开发监控operator的时候,如果项目带有webhook功能,如何部署时自动生成证书
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入WebhookKubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
先决条件可以在其上测试该示例的集群必须运行Kubernetes 1.9.0或更高版本,并且启用了admissionregistration.k8s.io/v1beta1 API。 您可以通过观察以下命令产生的非空输出来验证: kubectl api-versions | grep
autohook:为Twitter帐户活动API自动设置和提供Webhook
02-06
:gear: 注册一个Webhook(如果需要,它会删除现有的Webhook,如果Premium订阅支持,则可以添加多个Webhook) :check_mark_button: 必要时执行CRC验证 :memo: 订阅当前用户的上下文(如果需要,您可以始终订阅更多...
mirai-http-webhook:通过 mirai-api-http 来实现 webhook 功能
07-24
通过 mirai-api-http 来实现 webhook 功能 注意: 本项目仍在开发中,若遇到问题请提交至 issues 使用方式 克隆本项目 git clone https://github.com/Talaxy009/mirai-http-webhook.git 移动到本地仓库 cd ./mirai-...
imageswap-webhookKubernetes的图像交换突变录取Webhook
02-12
用于Kubernetes的ImageSwap突变入场控制器该将使用用户指定的图像前缀交换Pod中的现有图像定义。 这使您可以将相同的清单用于无法访问常用映像注册表(dockerhub,码头,gcr等)的空白环境。 Webhook使用Flask框架以...
k8s中webhook
02-24 1193
提供了动态准入控制,这种控制就是采用webhook方式实现,具体分两种方式,一种是验证性质,(validating admission webhook),另一种方式修改性质准入(mutating admission webhook),这两种方式都是资源持久化到etcd的时候进行验证与修改,这种使用方式可以用在其他方案设计中,但是这个使用也是有缺点,比如在大量频发资源创建情况,webhook的性能将会是一种瓶颈。
理清 Kubernetes 中的准入控制(Admission Controller)
k8s 生态
11-30 622
大家好,我是张晋涛。在我之前发布的文章 《云原生时代下的容器镜像安全》(系列)中,我提到过 Kubernetes 集群的核心组件 -- kube-apiserver,它允许来自终端用户或...
Macbook 安装 rancher
长门有希的博客
05-06 1122
环境 MacBook Pro (15-inch, 2018) Monterey 12.3.1 踩坑 1 官方docker方式,在macbook和ubuntu中 会有k3s status 3的错误,导致不断重启 2 在ubuntu中用docker会有一样的错误 用vagrant部署 vagrant部署 文档参考 https://docs.rancher.cn/docs/rancher2.5/quick-start-guide/deployment/quickstart-vagrant/_index 注意可能v
kubernetes-16-二进制包安装Kubernetes集群
qq_20466211的博客
03-16 609
参考二进制包安装Kubernetes集群环境完整版 1 k8s集群架构与组件
向现有etcd集群添加etcd新节点
qq_40822283的博客
07-07 2232
向现有etcd集群添加etcd新节点
webhook api
07-22
Webhook API 是一种用于实现实时数据传输和通知的机制。通过使用 Webhook API,你可以将你的应用程序或服务与其他应用程序或服务进行集成,并在特定事件发生时自动接收通知。 具体来说,Webhook API 允许你定义一个 HTTP 端点,当特定事件发生时,其他应用程序或服务可以向该端点发送 HTTP 请求,将相关数据传递给你的应用程序。你的应用程序可以根据接收到的数据执行相应的操作。 常见的使用场景包括实时通知、数据同步、自动化任务触发等。通过使用 Webhook API,你可以避免轮询或定时轮询的方式来获取数据更新,而是在数据更新时立即收到通知。 需要注意的是,每个服务的 Webhook API 实现可能会有所不同,因此你需要查阅相应的文档以了解如何正确配置和使用该服务的 Webhook API
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

常鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值