k8s 的admission webhook 部署在集群外,如何创建ssl 文件

最新推荐文章于 2024-05-21 14:39:01 发布
最新推荐文章于 2024-05-21 14:39:01 发布
阅读量920 收藏
点赞数
分类专栏: k8s 文章标签: k8s kubernetes docker ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24210767/article/details/112794618
版权

背景

一般情况下,对于webhook服务都是部署在k8s的集群内部的,但是我们这边有需要,需要部署在集群外面的物理机上,但是在MutatingWebhookConfiguration 里面只能配置https,所以需要自己签发证书。整个过程还是踩了坑。把过程记录下来。照着做肯定能成功。

安装cfssl

这个就不放具体的方法了,Google搜索一下。安装后执行一下命令 cfssl version 如果能正常显示如下,就代表安装好了

Version: 1.4.1
Runtime: go1.13.4

使用如下命令,照着做

  1. 创建ca-csr.json 文件, 根据自己的需求改
{
    "CN": "webhook",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [{
        "C": "CN",
        "ST": "SHANGHAI",
        "L": "SHANGHAI",
        "O": "Kubernetes",
        "OU": "Kubernetes-manual"
    }]
}
  1. 创建webhook-csr.json 文件, 根据自己修改,
{
    "CN": "webhook",
        "hosts": [
      "webhook.default.svc",
      "test-a13-docker-60-98", # 你需要将webhook服务部署对应的物理机的host 或者ip 
          "localhost",
          "kubernetes",
          "kubernetes.default",
          "kubernetes.default.svc",
          "kubernetes.default.svc.cluster",
          "kubernetes.default.svc.cluster.local"
        ],

    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [{
        "C": "CN",
        "ST": "SHANGHAI",
        "L": "SHANGHAI",
        "O": "Kubernetes",
        "OU": "Kubernetes-manual"
    }]
}
  1. 用cfssl 创建默认ca-config.json,执行命令如下。
 cfssl print-defaults config > ca-config.json
  1. 用如下命令,生成ca ,根证书
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
  1. 用如下命令,生成webhook 证书
cfssl gencert \
  -ca=ca.pem \
  -ca-key=ca-key.pem \
  -config=ca-config.json \
  -profile=www \
  webhook-csr.json | cfssljson -bare webhook
  1. 所有的执行完的结果如下,可以参考一下
    在这里插入图片描述
    如果你发现你创建出来的结果和我的一致,那基本就没问题了,我们接下来讲一下,生成的文件用在什么地方。

TlsConfig 代码里面如果使用

  • config.TlsCertFile 就是我们生成的webhook.pem 文件
  • config.TlsPrivateKeyFile 就是我们生成的webhook-key.pem
func newWebhookServer(config *config.Config)(*webHookServer,error) {
	tlsCertKey, err := tls.LoadX509KeyPair(config.TlsCertFile,config.TlsPrivateKeyFile)
	if err != nil {
		return nil,err
	}
	clientSet, err := GetKubernetesClient(config)
	ws := &webHookServer{
		server: &http.Server{
			Addr: fmt.Sprintf(":%v",config.Port),
			TLSConfig: &tls.Config{Certificates: []tls.Certificate{tlsCertKey}},
		},
	}

MutatingWebhookConfiguration 里面如何配置

如何获取caBundle,通过如下命令获取, 将ca.pem 文件进行base64的 encode

cat  ca.pem | base64 | tr -d '\n'

kind: MutatingWebhookConfiguration
metadata:
  name: mutating-webhook-nickname-cfg
  labels:
    app: nickname-webhook
webhooks:
  - name: nickname.ximalaya.com
    clientConfig:
      url: "https://host:12105/mutating"
      caBundle: "YourBundle"
    rules:
      - operations: [ "CREATE" ]
        apiGroups: ["core",""]
        apiVersions: ["v1"]
        resources: ["pods"]

类似问题如何处理

理论上按照上面的流程规范执行,应该是准确无误的,一点可以跑起来。如果遇到有问题。可以看看是不是和下面的类似
查看kube-apiserver 的日志

x509: certificate specifies an incompatible key usage

这种问题是执行看第5条。选择profile的时候没选择对。profile对应的权限在default的ca-config.json里面

http: server gave HTTP response to HTTPS client

这种问题是你配置的webhook的端口或者ip有问题导致的

反正apiserver里面返回的x509的问题,都是和ssl 有关系。

bomekkkk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
k8s 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
qq_35679620的博客
05-19 2197
k8s 资源对象实现超卖 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
12. Rancher Kubernetes 组件-过期 Webhook 证书轮换故障排除
05-21 333
Rancher Kubernetes 组件图。如果你的 Rancher 版本安装了rancher-webhook,某些版本创建的证书将在一年后过期。如果证书未续订,你需要轮换你的 webhook 证书。
在本地节点调试webhook
fayeestone的博客
09-17 1827
引言 通过operator SDK创建webhook默认使用的service的方式访问webhook server,这需要将webhook部署k8s上才能工作。对于开发的初级阶段,往往需要在反复修改调试代码,每次将webhook部署k8s上很不方便。本节将介绍在本地调试webhook的方法。 原理 webhook分别为两部分,其一是能够处理https请求的web服务器,以及webhook请求的处理程序;其二是在k8s上声明哪些资源对象状态变化需要调用webhook请求,该功能通过创建mutatingw
Kubernetes-存储(一)
weixin_38592881的博客
12-05 834
前言 本篇是Kubernetes第十二篇,大家一定要把环境搭建起来,看是解决不了问题的,必须实战。 Kubernetes系列文章: Kubernetes介绍 Kubernetes环境搭建 Kubernetes-kubectl介绍 Kubernetes-Pod介绍(-) Kubernetes-Pod介绍(二)-生命周期 Kubernetes-Pod介绍(三)-Pod调度 Kubernetes-Pod介绍(四)-Deployment Kubernetes-Service介绍(一)-基本概念 Kubernete
k8s Webhook 使用java springboot实现webhook 学习总结
liuyij3430448的博客
07-27 3859
kubernetes利用webhook可以实现类似Java Web Filter的功能,拦截对资源的操作请求。 将操作**增强**或者**拦截验证** 创建一个Pod,可以对这个操作添加额的配置,比如添加标签,添加容器,添加挂载等,或者验证Pod操作是不是满足某些要求,不满足则不执行等
lxcfs-admission-webhook
05-25
versions | grep admissionregistration.k8s.io/v1beta1结果应为: admissionregistration.k8s.io/v1beta1此,应添加MutatingAdmissionWebhook和ValidatingAdmissionWebhook接纳控制器,并以正确的顺序在kube-api...
tugger:Kubernetes Admission Webhook强制从私有注册表提取Docker映像
04-02
Kubernetes 1.9.0或以上与admissionregistration.k8s.io/v1 API启用。 通过以下命令进行验证: kubectl api-versions | grep admissionregistration.k8s.io/v1beta1 结果应为: admissionregistration.k8s.io/v1...
K8s-cks进阶技能攻略
02-07
KubernetesK8s)是容器编排系统,它提供了自动化部署、扩展和管理容器化应用程序的功能。下面是K8s的关键组件、架构、工作原理、调度流程、准入控制等知识点。 Kubernetes核心组件 Kubernetes核心组件包括kube-...
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入WebhookKubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
ingress-nginx.tar离线安装包,适用k8s版本 1.25.x~1.28.x
最新发布
05-22
ingress-nginx.tar离线安装包,适用k8s版本 1.25.x~1.28.x
k8s自定义资源CRD
Jacson__的博客
06-15 1951
k8s自定义资源CRD
k8s webhook实例,java springboot程序实现 对Pod创建请求添加边车容器 ,模拟istio实现日志文件清理
liuyij3430448的博客
07-28 1753
k8s webhook实例,java springboot程序实现 对Pod创建请求添加边车容器 ,模拟istio实现日志文件清理
K8S基于MutatingAdmissionWebhook实现资源超卖
会哭的雨@的博客
03-31 1692
文章目录 一、资源超卖问题分析 二、实现资源超卖的思路 三、MutatingAdmissionWebhook特性 四、MutatingWebhookConfiguration对象简介 五、源码分析 六、资源超卖算法实践 七、参考资料 一、资源超卖问题分析 在生产环境kubernetes集群的计算节点上运行着许许多多的Pod,分别跑着各种业务容器,我们通常用Deployment、DeamonSet、StatefulSet等资源对象去控制Pod的增删改。因此,开发或运维往往需要配置这些资源对象
webhook 失败策略
MaoVazquez的博客
12-08 407
字段设置了当 webhook 无法处理或逻辑处理结果为错误的时候,后续资源的走向。在 webhook configuration 配置文件
k8s学习-kubectl命令常用选项详解与实战
关注网络安全、云原生安全
05-08 4709
目录概述语法资源类型输出选项实战基本命令creategeteditdelete集群管理cluster-infotopcordon && uncordondraintaint高级命令applyreplace故障诊断和调试describelogsexec设置命令label其他命令version参考 概述 语法 kubectl [command] [TYPE] [NAME] [flags] command: 指定要对资源执行的操作,例如,create、get、describe和delete
K8S 二】搭建Docker Registry私有仓库(自签发证书+登录认证)(K8S和非K8S环境下)
刘元林的博客
11-19 5930
Go 1.15 版本开始废弃 CommonName,因此推荐使用 SAN 证书 docker run -d -e REGISTRY_AUTH="htpasswd" -e REGISTRY_AUTH_HTPASSWD_PATH="/auth/htpasswd" \ -e REGISTRY_AUTH_HTPASSWD_REALM="Registry Realm" \ -v /opt/registry/images:/var/lib/registry \
MutatingWebhookConfiguration升级
u011739062的博客
09-27 920
1.GitHub - caesarxuchao/example-webhook-admission-controller: An example of Kubernetes wehbook admission extensionAn example of Kubernetes wehbook admission extension - GitHub - caesarxuchao/example-webhook-admission-controller: An example of Kubernetes we
实战:OpenELB的安装与使用-2023.3.7(测试成功)
weixin_39246554的博客
03-07 1591
k8s
k8s查看Admission webhook
05-31
要查看KubernetesAdmission Webhook,可以使用以下命令: ``` kubectl get validatingwebhookconfigurations ``` 该命令将列出所有可用的验证Webhook配置。如果要查看特定验证Webhook配置的详细信息,可以使用以下命令: ``` kubectl describe validatingwebhookconfigurations <webhook-configuration-name> ``` 其,`<webhook-configuration-name>`是您要查看的验证Webhook配置的名称。您还可以使用类似的命令查看准入Webhook配置。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值