admission webhooks

已于 2023-05-02 20:23:55 修改
阅读量290 收藏
点赞数
文章标签: kubernetes
于 2023-05-02 20:18:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34482492/article/details/130462681
版权

1.运行机制

用于准入控制。

1.2 ValidatingAdmissioncontrollers

/kubernetes/vendor/k8s.io/apiserver/pkg/admission/plugin/webhook/validating/plugin.go

本质是admission插件。实现了下面的接口
 

监听ValidatingWebhookConfiguration对象,维护配置的所有validating admission webhook的列表。

会判断需要调用哪些webhook。

并发调用所有需要调用的webhook。

必须所有webhook都通过。

1.3 mutatingAdmissioncontrollers

/kubernetes/vendor/k8s.io/apiserver/pkg/admission/plugin/webhook/mutating

如果有插件修改了资源对象,会在reinvokeCtx.mutatingAdmissioncontrollers上下文中标记需要重新调用。

更上层的机制会触发对mutatingAdmissioncontrollers整体的重新调用。

逐个调用需要调用的webhook。

2.使用

2.1 确保集群支持

1) kueb-apiserver开启Mutating和Validating的admisson插件

--admission-control-config-file可以为这两个插件,配置相关参数。默认为空。

这些admisson插件,会被创建为一个handlerchain。在install API的时候,安装这个handlerchain。

2)集群启用了准入注册 API

2.2 编写webhook

1)创建一个服务器

监听两个路径,分别对应Mutating和Validating

路径需要对应MutatingAdmissionWebhook和ValidatingAdmissionWebhook中定义的路径。

2)输入/输出

从request.body取出。

// AdmissionReview describes an admission review request/response.
type AdmissionReview struct {
	metav1.TypeMeta
	// 请求
	Request *AdmissionRequest
	// 响应
	Response *AdmissionResponse
}

type AdmissionRequest struct {
	// 每个请求都不一样
	// 作用:追踪webhook和apiserver之间的round trip
	UID types.UID
	// ----- 操作对象的版本 -----
	// 可能与资源本身的版本不一样
	//  (v1.Pod/autoscaling.v1.Scale)
	Kind metav1.GroupVersionKind
	// 资源类型是URL中使用的名称
	// (v1.pods)
	Resource metav1.GroupVersionResource
	// 可选("status"/"scale")
	SubResource string

	// ------ 资源最初的版本 -----
	// MatchPolicy为Equivalent的情况:
	//   api-server已经将资源转换为webhook要求的版本
	//   这里记录的是资源最初的版本
	RequestKind        *metav1.GroupVersionKind
	RequestResource    *metav1.GroupVersionResource
	RequestSubResource string

	// ----- 资源的其他属性 ------
	Name      string
	Namespace string
	Operation Operation               // 操作类型
	UserInfo  authentication.UserInfo // 发起操作的用户信息
	Object    runtime.Object          // (可选)资源对象
	OldObject runtime.Object          // (可选)只有在DELETE/UPDATE时才使
	DryRun    *bool
	Options   runtime.Object // (可选)用户操作时,指定的Options(meta.k8s.io/v1.CreateOptions)
}

// AdmissionResponse describes an admission response.
type AdmissionResponse struct {
	UID types.UID
	// 当前admission request是否被批准
	Allowed bool
	// 拒绝当前请求的详细原因
	Result *metav1.Status
	// --- 针对资源对象的patch ----
	Patch []byte
	// 只支持"JSONPatch".
	PatchType *PatchType
	// (可选)remote admission controller/admission webhook添加额外的信息用于审计
	// key:必须以webhook的名字为前缀(imagepolicy.example.com/error=image-blacklisted)
	AuditAnnotations map[string]string
	// (可选)返回给提交请求的API client的warnings(需要改正或注意的事项)
	Warnings []string
}

2.3 配置webhook

1)

type ValidatingWebhookConfiguration struct {
	metav1.TypeMeta
	metav1.ObjectMeta
	Webhooks []ValidatingWebhook
}

// admission webhook/其影响的资源和操作operations
type ValidatingWebhook struct {
	// "webhook名字.组织名"  例子:imagepolicy.kubernetes.io"
	Name string
	// 如何与webhook通信
	//  1)webook在集群中的service
	//  2)CA证书
	//  3)scheme://host:port/path
	ClientConfig WebhookClientConfig
	// webhook关注的操作和资源
	//  1)Operations关注的操作
	// 		CONNECT/UPDATE/DELETE/CONNECT/*
	//  2) Rule通过四个条件,指定关注的资源
	// 		APIGroups/APIVersions/Resources/scope
	// 		scope:
	//   		1)Cluster,只有集群作用域的资源才能匹配此规则
	//   		2)Namespaced,
	//   		3)*
	Rules []RuleWithOperations
	// 如何处理Webhook中无法识别的错误和超时错误
	//  1)Ignore:忽略,API请求继续。
	//  2)Fail:准入失败,API请求被拒绝。
	FailurePolicy *FailurePolicyType
	// 例子:
	//   Webhook仅为apiGroups:["apps"], apiVersions:["v1","v1beta1"]指定了规则
	//   而修改资源的请求是extensions/v1beta1)发出的
	//   请求是否应该被发送到Webhook。
	// 1)Exact:不应该
	// 2)Equivalent:应该,会自动转换成webhook要求的版本,再发送至webhook
	//   在rule仅写资源的一个group/version,webhook会处理该资源的所有group/version
	MatchPolicy *MatchPolicyType
	// 根据命名空间筛选关注的资源
	//  筛选的是"命名空间对象"上的lable
	NamespaceSelector *metav1.LabelSelector
	// 筛选的是"资源对象"上的lable
	ObjectSelector *metav1.LabelSelector
	// Webhook通常仅对发送给他们的AdmissionReview内容进行操作.
	// 某些Webhook在处理admission请求时会进行带外更改. -> 副作用
	//  1)None:没有副作用
	//  2)NoneOnDryRun
	//     可能会有副作用
	//     如果请求带有dryRun:true属性,Webhook将抑制副作用
	SideEffects *SideEffectClass
	// webhook超时时间
	TimeoutSeconds *int32
	// webhook可以接收的admissionReview版本
	AdmissionReviewVersions []string
}

2)

type MutatingWebhookConfiguration struct {
	metav1.TypeMeta
	metav1.ObjectMeta
	Webhooks []MutatingWebhook
}

// MutatingWebhook describes an admission webhook and the resources and operations it applies to.
type MutatingWebhook struct {
	Name                    string
	ClientConfig            WebhookClientConfig
	Rules                   []RuleWithOperations
	FailurePolicy           *FailurePolicyType
	MatchPolicy             *MatchPolicyType
	NamespaceSelector       *metav1.LabelSelector
	ObjectSelector          *metav1.LabelSelector
	SideEffects             *SideEffectClass
	TimeoutSeconds          *int32
	AdmissionReviewVersions []string
	// 例子:
	//  MutatingWebhook A向对象中添加新的子结构[向pod中添加container]
	//  已经运行的其他MutatingWebhook可能会对这些新结构有影响[在所有容器上设置imagePullPolicy]
	// 是否再次调用其他已经运行的webhook
	//  1)Never
	//  2)IfNeeded
	ReinvocationPolicy *ReinvocationPolicyType
}

文涛-容器开发
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
admission-server_1.5.0.tar
03-30
openebs镜像包admission-server_1.5.0.tar
admission-form
05-30
录取通知书 托管在: :
KubeEdge 基本操作
IoTHub - 物联网开源技术社区
02-27 449
KubeEdge 基本操作,应用部署、查看日志、kuebctl exec、收集 metrics、查看服务状态。
Kubernetes 准入控制器: Admission Webhook
小楼一夜听春雨,深巷明朝卖杏花
07-20 3119
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可以监
Admission Webhook 花式玩法,骚得很
云原生实验室
05-13 426
项目由来使用 kubernetes 的同学可能或多或少会有以下的实际业务或者需求场景:为确保安全性,需要对某些资源进行删除保护,例如不允许删除 namespace、crd 定义等;根据服务画像为不同的服务设置不同的属性,这些属性基本是业务无感的,例如设置不同的超售比、设置不同的 Label 以及调度特性从而实现 io 敏感型与 io 密集型服务的反亲和调度等;针对同一个 ...
深入解析Kubernetes admission webhooks
期待幸福
07-11 889
admission controllers的特点:下图,显示了用户操作资源的流程,可以看出 admission controllers 作用是在通过身份验证资源持久化之前起到拦截作用。在准入控制器的加入会使kubernetes增加了更高级的安全功能。这里找到一个大佬博客画的图,通过两张图可以很清晰的了解到admission webhook流程,与官方给出的不一样的地方在于,这里清楚地定位了kubernetes admission webhook 处于准入控制中,RBAC之后,push 之前。根据官方提供的说
深度剖析Kubernetes动态准入控制之Admission Webhooks
weixin_34218579的博客
12-19 1873
2019独角兽企业重金招聘Python工程师标准>>> ...
In-depth introduction to K8s admission webhooks
weixin_37478507的博客
12-26 416
In-depth introduction to Kubernetes admission webhooks Banzai Cloud’s Pipeline platform is an operating system which allows enterprises to develop, deploy and scale container-based applica...
k8s准入控制器Admission Webhook研究
weixin_47575974的博客
08-06 1109
k8s准入控制器Admission Webhook研究
k8s中Admission webhook
weixin_43114954的博客
10-06 2307
前言 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhook。 AdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
MINI-PROJECT-IN-JAVA-TE(I.T.).rar_Admission
09-23
Mini Project Title is College Admission Process written in Java This project aims to minimize the tedious and troublesome work of teachers keeping up to date records of students. So this project can ...
admission-predictor
03-20
录取预测器
jungle_admission
03-01
jungle_admission
【二进制部署k8s-1.29.4】一、安装前软件准备及系统初始化
weixin_56364253的博客
05-30 1115
本章节主要讲解在安装部署k8s-1.29.4环境之前的一些软件、环境调优的准备工作,本篇采用k8s二进制安装的方式进行部署,该环境是根据在用的一个30节点左右的k8s集群部署流程进行文章整理。
k8s自动补全命令
最新发布
aaqq123456654321的博客
06-03 268
【代码】k8s自动补全命令。
k8s 全面掌控日志系统
ycloud
05-29 864
为了提高系统运维和故障排查的效率, 日志系统采用 ELK(Elasticsearch、Logstash、Kibana)技术栈,通过 FileBeats 作为日志收集器,将来自不同节点的日志数据汇总并存储在 Elasticsearch 中,最终通过 Kibana 进行可视化展示和分析。
K8s(Kubernetes)常用命令
若不知道要驶向哪个码头,那么任何风都不会是顺风。
05-30 983
本文将介绍一些常用的 Kubernetes 命令,从基本的集群管理到应用程序部署和监控,旨在帮助读者更好地理解和利用 Kubernetes。无论您是初学者还是有经验的 Kubernetes 用户,本文都将为您提供有价值的信息和技巧,助您更轻松地管理和操作 Kubernetes 集群。
k8s学习--ConfigMap详细解释与应用
lwxvgdv的博客
05-29 821
简单理解kubernetes集群可以使用ConfigMap来实现对容器中应用的配置进行管理(就是可以把一些应用的conf文件内容写到里面)。可以把ConfigMap看作是一个挂载到pod中的存储卷详细解释在 Kubernetes 中,ConfigMap 是一种 API 对象,用于存储非机密数据(如配置文件、环境变量、命令行参数等)。ConfigMap 允许您将应用程序的配置与容器化的应用程序分开管理,从而实现配置的灵活和动态管理。ConfigMap 的核心概念Key-Value 存储。
k8s查看Admission webhook
05-31
要查看Kubernetes中的Admission Webhook,可以使用以下命令: ``` kubectl get validatingwebhookconfigurations ``` 该命令将列出所有可用的验证Webhook配置。如果要查看特定验证Webhook配置的详细信息,可以使用以下命令: ``` kubectl describe validatingwebhookconfigurations <webhook-configuration-name> ``` 其中,`<webhook-configuration-name>`是您要查看的验证Webhook配置的名称。您还可以使用类似的命令查看准入Webhook配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值