kubernetes 准入控制器Admission Controller

最新推荐文章于 2022-11-14 14:12:21 发布
最新推荐文章于 2022-11-14 14:12:21 发布
阅读量935 收藏 1
点赞数
分类专栏: 自动化运维 linux运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22543991/article/details/108161965
版权

很多情况下我们并不希望大动干戈去改apiserver代码,所以apiserver提供了一种动态扩展admission的方式,非常推荐。

有两种类型:

  1. validating admission Webhook 只作校验,比如检测到某个特殊字段就不让请求通过
  2. mutating admission webhook 可以对请求体进行修改(patch)

 

比较重要的是这个AdmissionReview结构体,包含一个请求一个响应

请求:有Object的详细信息,用户信息

响应: 最重要的是 1. 是否允许 2. 修改(patch)的类型 3. 修改(patch)的值, 这个符合json patch标准 (kubectl patch)

 

下面是lxcfs的例子

首先lxcfs的主要作用就是提升容器资源可见性,也就是说在容器里可以看到容器自身的cpu 内存等值,但是默认情况下 看到的是宿主机的值。所有应对一些程序需要获取到容器自身的cpu内存值到需求的话 就需要使用到lxcfs。

 

那么lxcfs的使用的方法就是通过挂载/var/lib/lxc/lxcfs/proc/到容器的/proc下,这样如果每个容器都需要写的话会非常麻烦,所以需要在pod创建的时候自动patch相关的配置。

目前有两个方法:

1.podpreset注入

2.Admission Controller webhook注入

 

我们这里讲下第二种

为什么要用第二种呢,原因很简单 第二种可以进行细粒度控制。并且podpreset只能patch ,而Admission Controller webhook 还可以做校验控制

 

如何使用?

 

根据自己的需求创建不同的webhook

如果是patch pod的话就创建mutating admission webhook

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
  name: mutate
webhooks:
  - name: admission-webhook.default.xhzy
    rules:
      - operations:
          - CREATE
        apiGroups:
          - ""
        apiVersions:
          - v1
        resources:
          - pods
    failurePolicy: Fail
    clientConfig:
      #用来校验服务的证书是否正确的CA证书(https的证书域名是admission-webhook.default.svc)
      caBundle: #base64的ca证书
      service:
        namespace: default  #请求的pod所在的namespace
        name: admission-webhook  #请求的service name
        path: /mutating-pods #请求的url

 

那如何创建https的证书呢?

创建证书的注意点就是cn值为svc的地址,已经证书过期时间

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -subj "/CN=admission-webhook.default.svc" -days 10000 -out ca.crt   
openssl genrsa -out server.key 2048
cat << EOF >csr.conf
> [ req ]
> default_bits = 2048
> prompt = no
> default_md = sha256
> req_extensions = req_ext
> distinguished_name = dn
> 
> [ dn ]
> C = cn
> ST = cn
> L = hangzhou
> O = xxx
> OU = xxxx
> CN = admission-webhook.default.svc
> 
> [ req_ext ]
> subjectAltName = @alt_names
> 
> [ alt_names ]
> DNS.1 = admission-webhook.default.svc
> IP.1 = 127.0.0.1
> 
> [ v3_ext ]
> authorityKeyIdentifier=keyid,issuer:always
> basicConstraints=CA:FALSE
> keyUsage=keyEncipherment,dataEncipherment
> extendedKeyUsage=serverAuth,clientAuth
> subjectAltName=@alt_names
> EOF
openssl req -new -key server.key -out server.csr -config csr.conf
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial

那么主体就是代码逻辑了

如何实现呢,其实逻辑很简单 在创建MutatingWebhookConfiguration的时候我们需要指定的clientConfig.service

所以我们只需要定义

http.HandleFunc("/mutating-pods", serveMutatePods)

在serveMutatePods下里定义相关的逻辑

最后 返回AdmissionResponse对象

return &v1beta1.AdmissionResponse{
   Allowed: true,  #Allowed 决定此次请求是否准入
   Patch:   patchBytes, #如果是patch的话,此处为patch的值
   PatchType: func() *v1beta1.PatchType { #patch的类型
      pt := v1beta1.PatchTypeJSONPatch
      return &pt
   }(),
}

如果需要返回result的信息需要定义Result值:

v1beta1.AdmissionResponse{
    Result: &metav1.Status{Message: fmt.Sprintf(
   "Pod %v cannot delete for %v don't has ready Pod", pod.Name, utils.GetPodAppName(pod))}
}

 

 

 

 

 

噜噜噜的博客
关注
专栏目录
Kubernetes二次开发与源码分析(准入控制器
lcynone的博客
01-16 266
主要介绍准入控制器的基本原理,以及如何创建一个自定义的准入控制器
理清 Kubernetes 中的准入控制(Admission Controller
k8s 生态
11-30 641
大家好,我是张晋涛。在我之前发布的文章 《云原生时代下的容器镜像安全》(系列)中,我提到过 Kubernetes 集群的核心组件 -- kube-apiserver,它允许来自终端用户或...
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
Kubernetes Admission Controller Webhook演示 这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份运行容器,但是Webhook确保只有在Pod的securityContext runAsNonRoot设置显式设置为false ,才有可能。 如果没有为runAsNonRoot设置任何值,那么将应用默认值true ,并且用户ID默认为1234 。 先决条件 可以在其上测试该示例的集群必须运行Kubernetes 1.9.0或更高版本,并且启用了admissionregistration.k8s.io/v1beta1 API。 您可以通过观察以下命令产生的非空输出来验证: kubectl api-versions | grep
kubernetes中的Admission Controllers
weixin_33752045的博客
06-19 191
这是啥 准入控制admission controller本质上一段代码,在对kubernetes api的请求过程中,顺序为 先经过 认证 & 授权,执行准入操作,在对目标对象进行操作。这个准入代码在apiserver中,而且必须被编译到二进制文件中才能被执行。 在对集群进行请求时,每个准入控制代码都按照一定顺序执行。如果有一...
kubernetes Admission Controller 原理介绍
weixin_33737134的博客
05-24 450
Admission Controller介绍 Apiserver干的最重要的三个事就是: 认证 : 看是否是合法用户 授权 : 看用户具备哪些权限 admission controller : 一个调用链,对请求进行控制或修改,比如是否允许这个请求。 admission controller非常有用,也是经常会用到的k8s的一个扩展方式,今天在源码级别对其做一下介绍,以及如何自己去开发一个ad...
准入控制_Kubernetes动态准入控制示例
weixin_26755329的博客
09-04 901
准入控制A walk-through of creating a webhook for Kubernetes dynamic admission control. 创建用于Kubernetes动态准入控制的Webhook的演练。 The code illustrated in this article is available for download. 本文中说明的代码可以下载 。 Wha...
Kubernetes 准入控制 Admission Controller 介绍
zhangshaohuas的博客
08-06 351
1.什么是Admission Controller Admission Controller准入控制)是 Kubernetes API Server 用于拦截请求的一种手段。 Admission可以做到对请求的资源对象进行校验,修改。 service mesh最近很火的项目Istio天生支持Kubernetes,利用的就是admission对服务实例自动注入sidecar。 假如对 Kubernetes 有一定的了解的话,应该会知道在 Kubernetes 中还有 authn/authz,为什么还会引入
admission-control:编写Kubernetes准入控制器的有用的微框架:magnifying_glass_tilted_right::admission_tickets:
04-30
入学控制 :detective: :detective: :detective: 用于为Kubernetes集群构建和部署动态的微框架。... 准入控制提供了许多有用的内置AdmitFunc ,包括: EnforcePodAnnotations确保允许的EnforcePodAnnotat
chimera-admission:使用WebAssembly策略验证传入请求的Kubernetes动态准入控制器
05-07
我们还计划创建一个Kubernetes控制器来简化Chimera Policy的管理。 进行嵌合体入场 您可以从源代码构建chimera-admission (请参阅文件底部的专用部分),也可以使用我们在维护的容器映像。 该存储库内部的目录...
掌握Kubernetes ImagePolicyWebhook准入控制器
资源摘要信息:"Kubernetes准入控制器Admission Controller)是Kubernetes集群中的一个重要的安全组件,负责在对象被持久化到Etcd之前拦截并验证它们。准入控制器可以用来实施集群的策略,并且可以拒绝不符合策略的...
自定义admission controller(Mutating) supports kubernetes 1.24.6
Joker
11-08 261
本文使用admission的方式对开发环境的POD增加label。
Admission Controller简介
屈帅波的技术博客
03-18 1122
准入控制器介绍https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/ 动态准入控制器 https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/ 创建证书 vi ca-config.json { "signing": { "default": { .
Go使用k8s准入控制器来拒绝Latest镜像标签的yaml创建
Kason_iWiki
02-22 578
文章目录准入控制器注册准入控制器 webhook创建准入控制器服务器部署和测试结语参考链接 准入控制器 简而言之,Kubernetes准入控制器是管理和强制执行集群使用方式的插件。它们可以被认为是拦截(经过身份验证的)API 请求并可能更改请求对象或完全拒绝请求的看门人。准入控制过程有两个阶段:首先执行变更阶段,然后是验证阶段。 Kubernetes 准入控制器阶段: 准入控制器是一个软件,它在对象(如 Pod、Deployment、Service 等 k8s 资源) etcd 数据库中持久化之前,但在请
kubernetes安全机制
最新发布
Drw_Dcm的博客
11-14 2627
kubernetes安全机制
Controlling Access to the Kubernetes API 和 dynamic Admission control
weixin_34593133的博客
05-24 371
我们通过 kubectl、或者自己写程序,是可以调用apiserver的api接口的,但是我这里有两个问题: 1)访问apiserver的时候,我们需要做哪些事情?apiserver对访问的用户有没有什么需求? 首先,需要说明的是,在k8s中可以使用两种用户来访问apiserver,分别是普通用户和k8s的service account. 对于普通用户来说,他只是对于外部来说的,并不是k8s的对象,也不会在k8s中部署。而对于普通用户来说,会给这个用户绑定指定证书的权限,之后普通用户既可以访问apiserv
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值