k8s 的admission webhook 部署在集群外,如何创建ssl 文件

最新推荐文章于 2024-04-22 15:32:33 发布
最新推荐文章于 2024-04-22 15:32:33 发布
阅读量954 收藏
点赞数
分类专栏: k8s 文章标签: k8s kubernetes docker ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24210767/article/details/112794618
版权

背景

一般情况下,对于webhook服务都是部署在k8s的集群内部的,但是我们这边有需要,需要部署在集群外面的物理机上,但是在MutatingWebhookConfiguration 里面只能配置https,所以需要自己签发证书。整个过程还是踩了坑。把过程记录下来。照着做肯定能成功。

安装cfssl

这个就不放具体的方法了,Google搜索一下。安装后执行一下命令 cfssl version 如果能正常显示如下,就代表安装好了

Version: 1.4.1
Runtime: go1.13.4

使用如下命令,照着做

  1. 创建ca-csr.json 文件, 根据自己的需求改
{
   
    "CN": "webhook",
    "key": {
   
        "algo": "rsa",
        "size": 2048
    },
    "names": [{
   
        "C": "CN",
        "ST": "SHANGHAI"
最低0.47元/天 解锁文章
bomekkkk
关注
专栏目录
K8S二进制部署详解,一文教会你部署高可用K8S集群
景天科技苑
02-07 4088
虽然kubeadm方式搭建K8S比较简单,但是对里面的原理都不清楚的话,生产使用功能可能不便于排查故障。二进制方式部署k8s集群比较稳定。 二进制方式搭建:在官网下载相关组件的二进制包,如果手动安装,对kubernetes理解也会更全面。 Kubeadm和二进制都适合生产环境,在生产环境运行都很稳定,具体如何选择,可以根据实际项目进行评估。
一、二进制方式 安装部署K8S
爱吃西红柿的博客
01-07 1427
1、集群架构2、资源规划角色IP主机名组件etcdk8s-node-1k8s-node-1kubeletkube-proxydockeretcdk8s-node-2k8s-node-2kubeletkube-proxydockeretcd。
使用 Admission Webhook 机制实现多集群资源配额控制
吉小白的博客
01-12 561
1 要解决的问题 集群分配给多个用户使用时,需要使用配额以限制用户的资源使用,包括 CPU 核数、内存大小、GPU 卡数等,以防止资源被某些用户耗尽,造成不公平的资源分配。 大多数情况下,集群原生的 ResourceQuota 机制可以很好地解决问题。但随着集群规模扩大,以及任务类型的增多,我们对配额管理的规则需要进行调整: ResourceQuota 针对单集群设计,但实际上,开发/生产经常使用 多集群 环境。 集群大多数任务通过比如deployment、mpijob 等 高级资源对象 进行提交,我们
k8sAdmission webhook
weixin_43114954的博客
10-06 2385
前言 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲AdmissionValidatingAdmissionWebhookMutatingAdmissionWebhookAdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
k8s: admission demo(准入控制)
最新发布
conglanjun的博客
04-22 848
k8s admission demo,准入控制用例。
admission webhooks
qq_34482492的博客
05-02 357
用于准入控制。
k8s准入控制器Admission Webhook研究
weixin_47575974的博客
08-06 1253
k8s准入控制器Admission Webhook研究
离线部署K8S集群(二进制方式)
烟花散尽不问繁华
05-07 1565
一、前置准备 准备三台服务器,操作系统centos7.x 硬件配置:CPU2核、内存2GB、硬盘30GB 确保机器间网络互通,时钟同步,所需镜像及资源包下载链接:点击下载 规划: 节点名称 IP 安装组件 k8s-master 192.168.14.101 docker、etcd、kubelet、kube-proxy、kube-apiserver、kube-controller-manager、kube-scheduler k8s-node1 192.168.14.102 docker
k8s 集群部署ingress-nginx
以梦为马,不负韶华
04-03 287
k8s 集群部署ingress-nginx。
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
Kubernetes Admission Controller Webhook演示 这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份运行容器,但是Webhook确保只有在Pod的securityContext runAsNonRoot设置显式设置为false ,才有可能。 如果没有为runAsNonRoot设置任何值,那么将应用默认值true ,并且用户ID默认为1234 。 先决条件 可以在其上测试该示例的集群必须运行Kubernetes 1.9.0或更高版本,并且启用了admissionregistration.k8s.io/v1beta1 API。 您可以通过观察以下命令产生的非空输出来验证: kubectl api-versions | grep
Kubernetes 准入控制器: Admission Webhook
小楼一夜听春雨,深巷明朝卖杏花
07-20 3234
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可以监
准入控制器: Admission Webhook
qq_36270681的博客
01-22 1384
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可
k8s admission webhook初探
u012803274的博客
03-20 3111
前言 之前一篇博客讨论的问题,就是如何杀掉container的主进程,并且让container不重启,最后有讲到说也许可以使用admission webhook,动态替换容器,做到给一个空容器,也就是deployment或者是statufulset的image标签,换成一个空镜像启动,然后在这里container就可以java -jar启动自己的容器, 关闭自己的容器,完全当成是一个小型Linux来使用了,方便快速验证功能,不用每次都需要跑CI/CD。所以今天就来看看方案可行性,并且动手实践一把。 实践
k8s admission机制源码分析
fengcai_ke的博客
10-04 463
k8s admisson机制分析
k8s 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
qq_35679620的博客
05-19 2322
k8s 资源对象实现超卖 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
Admission Webhook 花式玩法,骚得很
云原生实验室
05-13 455
项目由来使用 kubernetes 的同学可能或多或少会有以下的实际业务或者需求场景:为确保安全性,需要对某些资源进行删除保护,例如不允许删除 namespace、crd 定义等;根据服务画像为不同的服务设置不同的属性,这些属性基本是业务无感的,例如设置不同的超售比、设置不同的 Label 以及调度特性从而实现 io 敏感型与 io 密集型服务的反亲和调度等;针对同一个 ...
Admission Webhook Part 2
yevvzi的博客
10-25 365
目标 本篇文章我们将参照官方的测试实例来一步步添加一个Admission Webhook #配置 webhook证书生成 由上节的配置我们可以看出,我们的webhook必须使用https,所以我们需要生成一个自签名的https证书, ca可以使用自定义的也可以共用apiserver的。 脚本可以参照istio的证书生成脚本: https://raw.githubusercontent.com/is...
k8s查看Admission webhook
05-31
要查看KubernetesAdmission Webhook,可以使用以下命令: ``` kubectl get validatingwebhookconfigurations ``` 该命令将列出所有可用的验证Webhook配置。如果要查看特定验证Webhook配置的详细信息,可以使用...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值