【Spark Operator】webhook的NamespaceSelector和ObjectSelector

最新推荐文章于 2022-08-20 13:11:13 发布
最新推荐文章于 2022-08-20 13:11:13 发布
阅读量643 收藏
点赞数
分类专栏: Spark Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oscarun/article/details/112005336
版权

之前走读 Spark Opeartor Webhook 部分的代码的时候发现,因为业务种类很多,我们需要在 webhook 层加很多参数和配置来控制用户的一些行为但是发现原生的 Spark Operator 只接受 NamespaceSelector 也就是这种行为的控制职能针对一个命名空间的对象。这个范围对我们来说有点太大了,我们喜欢更精细一点去控制 Webhook 的效果,所以这里可以通过修改 Webhook,引入 ObjectSelector 来控制。修改 spark-operator webhook 源码,添加了 ObjectSelector,保证只有 Spark 的 Pod 会被发送到 /webhook。

	mutatingWebhook := v1beta1.MutatingWebhook{
		Name:  webhookName,
		Rules: mutatingRules,
		ObjectSelector: &metav1.LabelSelector{
			MatchLabels: map[string]string{"sparkoperator.k8s.io/launched-by-spark-operator": "true"},
		},
		ClientConfig: v1beta1.WebhookClientConfig{
			Service:  wh.serviceRef,
			CABundle: caCert,
		},
		FailurePolicy:     &wh.failurePolicy,
		NamespaceSelector: wh.selector,
	}

上述方案只能在 k8s 1.16+ 才能使用了,目前来说,对于大部分 1.14 的集群,只能通过 Namespace 来区分了,Namespace 加上特定的 Label,也就是只有符合 nameSpaceSelector 这个 Namespace 下的资源对象才会被 webhook 拦截,所以 ObjectSelector 是否生效还要取决于 Webhook 所在的 k8s 集群。
2020年最后一天了,水一篇…

runzhliu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes集群部署(四)——网络策略
weixin_56993834的博客
07-29 442
一 网络策略 如果你希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则你可以考虑为集群特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” (我们这里使用实体以避免过度使用诸如“端点”和“服务”这类常用术语, 这些术语在 Kubernetes 有特定含义)通信。 Pod 可以通信的 Pod 是通过如下三个标识符的组合来辩识的: 其他被允许的
spark-operator
最新发布
06-18
"Spark-Operator"是专为Kubernetes集群设计的一个工具,用于在Kubernetes上管理和运行Apache Spark作业。这个工具的核心目标是简化在Kubernetes环境部署、监控和管理Spark应用的过程,使得用户无需直接与低级别的...
k8s概念之Namespace和Lable和Selector
m0_37779570的博客
05-31 5038
一、NameSpace 二、Lable 三、Selector 一、Namespace 命名空间 1.1 概念 在一个Kubernetes集群可以使用namespace创建多个“虚拟集群”,这些namespace之间可以完全隔离,也可以通过某种方式,让一个namespace的service可以访问到其他的namespace的服务,我们在CentOS部署kubernetes1.6集群的...
备战CKA每日一题——第10天 | (网络隔离)允许A访问B,不允许C访问B,怎么做;k8s访问控制RBAC、Role、RoleBinding以及serviceaccount引出
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
12-02 703
(网络隔离)允许A访问B,不允许C访问B,怎么做;k8s访问控制RBAC、Role、RoleBinding以及serviceaccount引出
Kubernetes实战入门
Hud的博客
04-10 1268
通过本篇文章记录如何在Kubernetes集群部署一个nginx服务,并且能够对其进行访问 1、Namespace Namespace是Kubernetes系统的一种非常重要的资源,它的主要作用是用来实现多套环境的资源隔离或者多租户的资源隔离 默认情况下,Kubernetes集群的所有Pod都是可以相互访问的,但是我们再实际过程很可能不想让两个Pod之间进行相互的访问,那么此时就可以将两个Pod划分到不同的namespace下。Kubernetes通过将集群内部的...
Kubernetes 开发【1】——webhook 实现 API Server 请求拦截和修改
kingu_crimson的博客
08-04 1342
admission controller是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器编译进可执行文件,并且只能由集群管理员配置。使用准入控制器 | Kubernetes我们也可以通过自己编写一段代码二次开发来实现更为高级更为复杂的需求,官方有具体的实例,该实例的用途是即仅允许pod从指定的镜像仓库拉取image,否则apiserver将会拒绝本次请求。............
spark-operator:用于在Kubernetes和OpenShift上管理Spark集群的操作员
05-16
基于{CRD|ConfigMap}的方法,用于在Kubernetes和OpenShift管理Spark集群。 它是如何工作的 快速开始 运行spark-operator部署:在执行此步骤之前,请记住更改ClusterRoleBinding的namespace变量 kubectl apply -f ...
Operator Mono 和 mononoki
04-16
"Operator Mono" 和 "mononoki" 是两款备受开发者喜爱的代码字体,它们各自拥有独特的特点,旨在提高代码的可读性和视觉美感。 "Operator Mono" 是由 Hoefler & Co. 设计的一款高级编程字体,它融合了衬线和无衬线...
redis-cluster-operator:Redis Cluster Operator在Kubernetes上创建和管理Redis集群
05-03
redis-cluster-operator 概述 Redis Cluster Operator在Kubernetes上管理 。...验证Webhook 端到端测试 先决条件 转到v1.13 +版本。 访问Kubernetes v1.13.10集群。 特征 自定义主节点数和每个主节
spark-on-k8s-operator:Kubernetes运算符,用于管理Kubernetes上的Apache Spark应用程序的生命周期
02-03
这不是官方支持的Google产品。社区加入我们的频道。... 使用Kubernetes Mutating (在Kubernetes 1.9成为beta版)实现了对Spark Pod的自定义(例如,安装任意卷和设置Pod亲和力)。 如果您使用Hel
postcss-selector-namespace:使用postcss命名CSS选择器
05-13
postcss-选择器命名空间 安装 $ npm install postcss-selector-namespace 用法 var postcss = require ( 'postcss' ) var selectorNamespace = require ( 'postcss-selector-namespace' ) var output = postcss ( ) . use ( selectorNamespace ( { selfSelector : ':--component' , namespace : 'my-component' } ) ) . process ( require ( 'fs' ) . readFileSync ( 'input.css' , 'utf8' ) ) . css input.css : --component { col
Spark Operatorwebhook的分析
runzhliu大数据/容器日记
08-03 657
spark operator 是支持 webhook 的,也就是说,可以通过 webhook 来给 spark operator 创建的 pod 加上如 NodeSelector, PodAffinity, InitContainer 等特性。这在原生的 Spark 里只能通过配置 Pod Template 来做,个人觉得 Pod Template 不如 webhook 方便,而且 Spark 的逻辑里没有对 Pod Template 进行语法的校验。 但是目前 // NamespaceSelector
kubernetes networkpolicy网络策略详解
热门推荐
爱死亡机器人
09-05 1万+
1. 简介 网络策略(NetworkPolicy)是一种关于 Pod 间及与其他网络端点间所允许的通信规则的规范。 NetworkPolicy 资源使用 标签 选择 Pod,并定义选定 Pod 所允许的通信规则。 2. 语法 apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: test-network-policy namespace: default spec: podSelector: matchL
Kubernetes网络策略,这一篇就够了
云计算
05-16 1100
目前许多组织都在采用Kubernetes来运行他们的应用程序。以至于有些人将Kubernetes称为新的数据心操作系统。因此,组织开始将Kubernetes(通常缩写为k8s)视为关键任务平台,它需要包括网络安全在内的成熟业务流程。 负责保护这个新平台的网络安全团队可能发现它出奇的不同。例如,默认的Kubernetes策略是允许任何连接。 本文提供了一些关于Kubernetes网络策略工作原理的简介,它们如何与传统防火墙策略进行比较以及一些可以帮助你保护Kubernetes应用程序的陷阱和最佳实践
k8s限制不同命名空间下的pod之间的网络策略
Bobdragery的博客
08-09 1258
定制一个名为np的新NetworkPolicy,限制Namespace space1的所有Pod只能向Namespace space2的Pod发出流量。定制一个名为np的新NetworkPolicy,限制Namespace space2的所有Pod只能从Namespace space1的Pod传入流量。通过定制NetworkPolicy,限制不同命名空间下的pod之间的网络策略。创建space2下的np,定制入口流量,只接收处理space1下的请求。...
Kubernetes — 核心资源对象 — Network Policy
烟云的计算
08-20 1161
示例 2:允许 Subnet 20.10.10.0/24 里的 Pods 访问 Namespace test-ns1 有 Label nginx-ns1 的 Pods 的 Port 80,并且将 IP 20.10.10.3/32 的 Pod 除外。Network Policy 通常与某个 Namespace 绑定,默认情况下,如果 Namespace 不存在 Network Policy,则所有 Ingress/Egress 该 Namespace 的 Pods 的流量都被允许。
kubernetes的webhook开发(一篇搭好开发架构)
weixin_40965647的博客
08-02 905
webhook 对kubernetes的webhook开发实例 介绍 Webhook就是一种HTTP回调,用于在某种情况下执行某些动作,Webhook不是K8S独有的,很多场景下都可以进行Webhook,比如在提交完代码后调用一个Webhook自动构建docker镜像 K8S提供了自定义资源类型和自定义控制器来扩展功能,还提供了动态准入控制,其实就是通过Webhook来实现准入控制,分为两种:验...
Spark Operator 部署及入门示例
学亮编程手记
07-17 1935
关于存算分离 目前企业级的大数据应用主流还是采用Yarn或者Mesos来进行资源分配和运行调度的,例如我行目前采用Yarn来进行作业调度,并使用HDFS作为大数据的存储平台,这是典型的计算和存储紧耦合的模式,这种方案是通过数据本地化策略来减少数据的网络传输,从而实现良好的计算性能。 随着业务的发展,支持作业运行所需要的计算资源(CPU、内存、网络带宽)的需求量也会不断增长,就可能出现Hadoop集群的计算资源不足的情况,在目前的架构下我们只能通过扩容集群服务器的方式来解决,然而这种方式的步骤较为繁琐,且无法
GoogleCloud Spark Operator Chart(未完待续)
Dreamming Time的博客
01-07 374
Spark Application CRD GoogleCloud Spark Operator,基于Spark官方Kubernetes资源管理器的实现,实现了通过K8S接口提交Spark应用的功能。 下面列出了一些官方Operator Chart核心yaml文件的定义,可能与最新版本的文件有些不同,请读者自行更新。 sparkapps-crd.yaml 通过Opertaor方式提交Spark应...
spark operator
12-08
Spark Operator使用自定义资源定义(CRD)来定义Spark应用程序,这使得在Kubernetes上运行Spark应用程序变得更加容易和可靠。 以下是使用Spark Operator在Kubernetes上运行Spark应用程序的步骤: 1.安装Spark ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值