k8s 的admission webhook 部署在集群外,如何创建ssl 文件

最新推荐文章于 2024-05-21 14:39:01 发布
最新推荐文章于 2024-05-21 14:39:01 发布
阅读量920 收藏
点赞数
分类专栏: k8s 文章标签: k8s kubernetes docker ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24210767/article/details/112794618
版权

背景

一般情况下,对于webhook服务都是部署在k8s的集群内部的,但是我们这边有需要,需要部署在集群外面的物理机上,但是在MutatingWebhookConfiguration 里面只能配置https,所以需要自己签发证书。整个过程还是踩了坑。把过程记录下来。照着做肯定能成功。

安装cfssl

这个就不放具体的方法了,Google搜索一下。安装后执行一下命令 cfssl version 如果能正常显示如下,就代表安装好了

Version: 1.4.1
Runtime: go1.13.4

使用如下命令,照着做

  1. 创建ca-csr.json 文件, 根据自己的需求改
{
    "CN": "webhook",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [{
        "C": "CN",
        "ST": "SHANGHAI",
        "L": "SHANGHAI",
        "O": "Kubernetes",
        "OU": "Kubernetes-manual"
    }]
}
  1. 创建webhook-csr.json 文件, 根据自己修改,
{
    "CN": "webhook",
        "hosts": [
      "webhook.default.svc",
      "test-a13-docker-60-98", # 你需要将webhook服务部署对应的物理机的host 或者ip 
          "localhost",
          "kubernetes",
          "kubernetes.default",
          "kubernetes.default.svc",
          "kubernetes.default.svc.cluster",
          "kubernetes.default.svc.cluster.local"
        ],

    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [{
        "C": "CN",
        "ST": "SHANGHAI",
        "L": "SHANGHAI",
        "O": "Kubernetes",
        "OU": "Kubernetes-manual"
    }]
}
  1. 用cfssl 创建默认ca-config.json,执行命令如下。
 cfssl print-defaults config > ca-config.json
  1. 用如下命令,生成ca ,根证书
cfssl gencert -initca ca-csr.json | cfssljson -bare ca
  1. 用如下命令,生成webhook 证书
cfssl gencert \
  -ca=ca.pem \
  -ca-key=ca-key.pem \
  -config=ca-config.json \
  -profile=www \
  webhook-csr.json | cfssljson -bare webhook
  1. 所有的执行完的结果如下,可以参考一下
    在这里插入图片描述
    如果你发现你创建出来的结果和我的一致,那基本就没问题了,我们接下来讲一下,生成的文件用在什么地方。

TlsConfig 代码里面如果使用

  • config.TlsCertFile 就是我们生成的webhook.pem 文件
  • config.TlsPrivateKeyFile 就是我们生成的webhook-key.pem
func newWebhookServer(config *config.Config)(*webHookServer,error) {
	tlsCertKey, err := tls.LoadX509KeyPair(config.TlsCertFile,config.TlsPrivateKeyFile)
	if err != nil {
		return nil,err
	}
	clientSet, err := GetKubernetesClient(config)
	ws := &webHookServer{
		server: &http.Server{
			Addr: fmt.Sprintf(":%v",config.Port),
			TLSConfig: &tls.Config{Certificates: []tls.Certificate{tlsCertKey}},
		},
	}

MutatingWebhookConfiguration 里面如何配置

如何获取caBundle,通过如下命令获取, 将ca.pem 文件进行base64的 encode

cat  ca.pem | base64 | tr -d '\n'

kind: MutatingWebhookConfiguration
metadata:
  name: mutating-webhook-nickname-cfg
  labels:
    app: nickname-webhook
webhooks:
  - name: nickname.ximalaya.com
    clientConfig:
      url: "https://host:12105/mutating"
      caBundle: "YourBundle"
    rules:
      - operations: [ "CREATE" ]
        apiGroups: ["core",""]
        apiVersions: ["v1"]
        resources: ["pods"]

类似问题如何处理

理论上按照上面的流程规范执行,应该是准确无误的,一点可以跑起来。如果遇到有问题。可以看看是不是和下面的类似
查看kube-apiserver 的日志

x509: certificate specifies an incompatible key usage

这种问题是执行看第5条。选择profile的时候没选择对。profile对应的权限在default的ca-config.json里面

http: server gave HTTP response to HTTPS client

这种问题是你配置的webhook的端口或者ip有问题导致的

反正apiserver里面返回的x509的问题,都是和ssl 有关系。

bomekkkk
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
使用 Admission Webhook 机制实现多集群资源配额控制
吉小白的博客
01-12 548
1 要解决的问题 集群分配给多个用户使用时,需要使用配额以限制用户的资源使用,包括 CPU 核数、内存大小、GPU 卡数等,以防止资源被某些用户耗尽,造成不公平的资源分配。 大多数情况下,集群原生的 ResourceQuota 机制可以很好地解决问题。但随着集群规模扩大,以及任务类型的增多,我们对配额管理的规则需要进行调整: ResourceQuota 针对单集群设计,但实际上,开发/生产中经常使用 多集群 环境。 集群大多数任务通过比如deployment、mpijob 等 高级资源对象 进行提交,我们
lxcfs-admission-webhook
05-25
versions | grep admissionregistration.k8s.io/v1beta1结果应为: admissionregistration.k8s.io/v1beta1此,应添加MutatingAdmissionWebhook和ValidatingAdmissionWebhook接纳控制器,并以正确的顺序在kube-api...
k8s中Admission webhook
weixin_43114954的博客
10-06 2339
前言 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhookAdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
12. Rancher Kubernetes 组件-过期 Webhook 证书轮换故障排除
05-21 335
Rancher Kubernetes 组件图。如果你的 Rancher 版本安装了rancher-webhook,某些版本创建的证书将在一年后过期。如果证书未续订,你需要轮换你的 webhook 证书。
k8s: admission demo(准入控制)
conglanjun的博客
04-22 826
k8s admission demo,准入控制用例。
k8s准入控制器Admission Webhook研究
weixin_47575974的博客
08-06 1185
k8s准入控制器Admission Webhook研究
准入控制器: Admission Webhook
qq_36270681的博客
01-22 1371
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可
tugger:Kubernetes Admission Webhook强制从私有注册表中提取Docker映像
04-02
Kubernetes 1.9.0或以上与admissionregistration.k8s.io/v1 API启用。 通过以下命令进行验证: kubectl api-versions | grep admissionregistration.k8s.io/v1beta1 结果应为: admissionregistration.k8s.io/v1...
K8s-cks进阶技能攻略
02-07
Kubernetes(K8s)是容器编排系统,它提供了自动化部署、扩展和管理容器化应用程序的功能。下面是K8s的关键组件、架构、工作原理、调度流程、准入控制等知识点。 Kubernetes核心组件 Kubernetes核心组件包括kube-...
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入Webhook 该Kubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
ingress-nginx.tar离线安装包,适用k8s版本 1.25.x~1.28.x
最新发布
05-22
ingress-nginx.tar离线安装包,适用k8s版本 1.25.x~1.28.x
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
Kubernetes Admission Controller Webhook演示 这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份运行容器,但是Webhook确保只有在Pod的securityContext runAsNonRoot设置显式设置为false ,才有可能。 如果没有为runAsNonRoot设置任何值,那么将应用默认值true ,并且用户ID默认为1234 。 先决条件 可以在其上测试该示例的集群必须运行Kubernetes 1.9.0或更高版本,并且启用了admissionregistration.k8s.io/v1beta1 API。 您可以通过观察以下命令产生的非空输出来验证: kubectl api-versions | grep
k8s admission webhook初探
u012803274的博客
03-20 3091
前言 之前一篇博客讨论的问题,就是如何杀掉container的主进程,并且让container不重启,最后有讲到说也许可以使用admission webhook,动态替换容器,做到给一个空容器,也就是deployment或者是statufulset的image标签,换成一个空镜像启动,然后在这里container中就可以java -jar启动自己的容器, 关闭自己的容器,完全当成是一个小型Linux来使用了,方便快速验证功能,不用每次都需要跑CI/CD。所以今天就来看看方案可行性,并且动手实践一把。 实践
k8s admission机制源码分析
fengcai_ke的博客
10-04 453
k8s admisson机制分析
k8s 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
qq_35679620的博客
05-19 2197
k8s 资源对象实现超卖 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
Admission Webhook 花式玩法,骚得很
云原生实验室
05-13 437
项目由来使用 kubernetes 的同学可能或多或少会有以下的实际业务或者需求场景:为确保安全性,需要对某些资源进行删除保护,例如不允许删除 namespace、crd 定义等;根据服务画像为不同的服务设置不同的属性,这些属性基本是业务无感的,例如设置不同的超售比、设置不同的 Label 以及调度特性从而实现 io 敏感型与 io 密集型服务的反亲和调度等;针对同一个 ...
Admission Webhook Part 2
yevvzi的博客
10-25 351
目标 本篇文章我们将参照官方的测试实例来一步步添加一个Admission Webhook #配置 webhook证书生成 由上节的配置我们可以看出,我们的webhook必须使用https,所以我们需要生成一个自签名的https证书, ca可以使用自定义的也可以共用apiserver的。 脚本可以参照istio的证书生成脚本: https://raw.githubusercontent.com/is...
K8S基于MutatingAdmissionWebhook实现资源超卖
会哭的雨@的博客
03-31 1692
文章目录 一、资源超卖问题分析 二、实现资源超卖的思路 三、MutatingAdmissionWebhook特性 四、MutatingWebhookConfiguration对象简介 五、源码分析 六、资源超卖算法实践 七、参考资料 一、资源超卖问题分析 在生产环境中,kubernetes集群的计算节点上运行着许许多多的Pod,分别跑着各种业务容器,我们通常用Deployment、DeamonSet、StatefulSet等资源对象去控制Pod的增删改。因此,开发或运维往往需要配置这些资源对象
k8s查看Admission webhook
05-31
要查看Kubernetes中的Admission Webhook,可以使用以下命令: ``` kubectl get validatingwebhookconfigurations ``` 该命令将列出所有可用的验证Webhook配置。如果要查看特定验证Webhook配置的详细信息,可以使用以下命令: ``` kubectl describe validatingwebhookconfigurations <webhook-configuration-name> ``` 其中,`<webhook-configuration-name>`是您要查看的验证Webhook配置的名称。您还可以使用类似的命令查看准入Webhook配置。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值