Kubernetes Admission Webhook在prometheus-operator中的使用

最新推荐文章于 2023-06-25 06:53:07 发布
最新推荐文章于 2023-06-25 06:53:07 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leonleow/article/details/103638182
版权

一 Admission Webhook概览

Kubernetes Admission Webhook机制作为API Server的扩展机制,可以用来灵活地在对API Server对象进行写操作时实现对象统一修改和检验等功能,详细的功能介绍可以参见官方文档。当客户端连接API Server更改对象时,会经过下图所示的过程。
在这里插入图片描述
总得来说,有两种Admission Webhook:

  • Mutating Admission Webhook和
  • Validating Admission Webhook。

在对象持久化进etcd之前,Mutating Admission Webhook被API Server首先调用用来对操作对象进行修改,然后再调用Validating Admission Webhook对对象进行合格性检查,如果检查通过则写入etcd,否则拒绝更新操作。具体来说就是返回HTTP 422 Unprocessable Entity响应码。

1.1 使用的注意事项

  • 实现Webhook的服务(就是个HTTP接口)必须提供HTTPS接口
  • API Server必须信任HTTPS的证书,可以让自己的Webhook使用由Kubernetes签发的证书来保证API Server信任证书
  • 配置Webhook Configuration时,可以指定拦截的API对象类型已经namespace等,如:
apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
 name: prometheus-operator-rulesvalidation
webhooks:
- clientConfig:
     service:
       name: prometheus-operator
       namespace: openshift-metrics
       path: /admission-prometheusrules/mutate
       port: 8081
   failurePolicy: Fail
   name: prometheusrulemutate.monitoring.coreos.com
最低0.47元/天 解锁文章
以简为道
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tugger:Kubernetes Admission Webhook强制从私有注册表提取Docker映像
04-02
Tugger是Kubernetes Admission网络挂钩,用于强制从私有注册表提取docker映像。 先决条件 Kubernetes 1.9.0或以上与admissionregistration.k8s.io/v1 API启用。 通过以下命令进行验证: kubectl api-versions | ...
prometheus-operator使用【创建Alertmanager的Webhook
Happywzy~的博客
12-03 1041
上文介绍了Alertmanager集成钉钉,我们还可以自己写一个webhook,用于接收Alertmanager的通知服务。 获取Alertmanager的请求内容 参考前文,我们知道Alertmanager会向配置的webhook地址发送一个POST请求,这里我们先编写一个简单的controller,用于接收Alertmanager的请求,如下: @RequestMappin...
kube-prometheus-stack 部署
cl18707602767的博客
11-07 1514
kube-prometheus-stack 部署
Prometheus Operator 安装配置
clay's blog
02-05 669
首先Prometheus整体监控结构略微复杂,一个个部署并不简单。另外监控Kubernetes就需要访问内部数据,必定需要进行认证、鉴权、准入控制,那么这一整套下来将变得难上加难,而且还需要花费一定的时间,如果你没有特别高的要求,还是建议选用开源比较好的一些方案。在k8s初期使用Heapster+cAdvisor方式监控,这是Prometheus Operator出现之前的k8s监控方案。
准入控制器: Admission Webhook
qq_36270681的博客
01-22 1371
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可
Kubernetes 准入控制器: Admission Webhook
小楼一夜听春雨,深巷明朝卖杏花
07-20 3170
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可以监
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
Kubernetes Admission Controller Webhook演示这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份...
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入WebhookKubernetes Admission控制器仅允许创建包含正确的云提供程序注释的... 建造make docker_build 部署Kubernetes 1.9有两种Webhook Admission控制器。 ValidatingAdmissionWebho
kubernetes-server-linux-amd64.tar.gz
11-29
在这个名为“kubernetes-server-linux-amd64.tar.gz”的压缩包,包含了在Linux AMD64架构上运行Kubernetes 1.21.0版本所需的所有核心组件。这个版本的发布,标志着Kubernetes在功能、性能和稳定性上的又一次提升。...
lxcfs-admission-webhook
05-25
LXCFS的Kubernetes准入Webhook 该项目显示了如何为构建和部署 。先决条件Kubernetes 1.9.0或以上与admissionregistration.k8s.io/v1beta1 API启用。 通过以下命令进行验证: kubectl api-versions | grep ...
使用prometheusrules自定义创建告警规则
dgsfor的博客
11-09 2362
介绍首先这篇文章是跟着上一篇helm 部署prometheus-operator来的,部署完成之后,我们就需要自定义一些配置。 这篇文章主要讲解如何自定义告警规则,如何让prometheus发现他。 步骤 添加prometheusrules规则 验证 名词解释prometheusrules,也是安装好prometheus-o...
五、helm部署 prometheus-operator
CN_LiTianpeng的博客
10-31 2767
一、了解Prometheus概念二、认识Prometheus Operator1、安装Prometheus软件2、模拟业务监控2.1、模拟发布业务pod2.2、添加servicemonitors采集监控指标2.3、可以通过prometheus查看3、配置告警3.1、告警模板文件 template.tmpl3.2、config.yaml3.3、创建webhook挂载configmap3.4、配置alertmanager.yaml使用webhook3.5、创建告警3.5、group_wait和repeat_i.
kube-promethues监控告警详解(邮件、钉钉、微信、自研平台)
rendongxingzhe的博客
10-24 2837
kube-promethues监控告警详解(邮件、钉钉、微信、自研平台)
Istio sidecar 自动注入原理、开启全局注入(在所有命名空间自动注入)
shida's blog
05-31 7061
一、背景介绍 Istio 作为重要的 ServiceMesh 框架,已经被越来越多的公司所使用。在 Istio 体系,应用容器的出入流量都需要经过 Sidecar 的拦截和处理。默认地,Istio sidecar 自动注入是通过给 namespace 打 istio-injection=enabled 或 istio-injection=disabled 标签,来确定是否在该命名空间执行自动注入...
每天5分钟玩转Kubernetes | Prometheus Operator
最新发布
COCO_gsta的博客
06-25 521
书籍来源:cloudman《每天5分钟玩转Kubernetes》一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持!附上汇总贴:每天5分钟玩转Kubernetes | 汇总_COCOgsta的博客-CSDN博客前面我们介绍了Kubernetes的两种监控方案,即Weave Scope和Heapster,它们主要的监控对象是Node和Pod。这些数据对Kubernetes运维人员是必需的,但还不够。我们通常还希望监控集群本身的运行状态,比如Kubernetes的API Server、S
kubernetes 准入控制器Admission Controller
噜噜噜的博客
08-22 895
很多情况下我们并不希望大动干戈去改apiserver代码,所以apiserver提供了一种动态扩展admission的方式,非常推荐。 有两种类型: validating admission Webhook 只作校验,比如检测到某个特殊字段就不让请求通过 mutating admission webhook 可以对请求体进行修改(patch) 比较重要的是这个AdmissionReview结构体,包含一个请求一个响应 请求:有Object的详细信息,用户信息 响应: 最重要的是 1. 是否允.
k8s查看Admission webhook
05-31
要查看KubernetesAdmission Webhook,可以使用以下命令: ``` kubectl get validatingwebhookconfigurations ``` 该命令将列出所有可用的验证Webhook配置。如果要查看特定验证Webhook配置的详细信息,可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值