准入控制器: Admission Webhook

最新推荐文章于 2024-04-11 20:47:19 发布
最新推荐文章于 2024-04-11 20:47:19 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: k8s篇 文章标签: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36270681/article/details/122644774
版权
Admission Webhook: 准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的
请求,并且可以修改请求或拒绝请求。
Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序
可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。
相关Webhook准入控制器:
MutatingAdmissionWebhook:修改资源,理论上可以监听并修改任何经过ApiServer处理的请求
ValidatingAdmissionWebhook:验证资源
ImagePolicyWebhook:镜像策略,主要验证镜像字段是否满足条件

 

 生成证书文件

root@k8s-master:/etc/kubernetes/image-policy# cat image-policy-certs.sh 
cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
         "expiry": "87600h",
         "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ]
      }
    }
  }
}
EOF

cat > ca-csr.json <<EOF
{
    "CN": "kubernetes",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
            "C": "CN",
            "L": "Beijing",
            "ST": "Beijing"
        }
    ]
}
EOF

cfssl gencert -initca ca-csr.json | cfssljson -bare ca -

cat > webhook-csr.json <<EOF
{
  "CN": "webhook",
  "hosts": [
   "172.21.0.5" 
   ],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes webhook-csr.json | cfssljson -bare webhook

cat > apiserver-client-csr.json <<EOF
{
  "CN": "apiserver",
  "hosts": [],
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "L": "BeiJing",
      "ST": "BeiJing"
    }
  ]
}
EOF

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json -profile=kubernetes apiserver-client-csr.json | cfssljson -bare apiserver-client

1、启用准入控制插件
--enable-admission-plugins=NodeRestriction,ImagePolicyWebhook
--admission-control-config-file=/etc/kubernetes/image-policy/admission_configuration.yaml
并使用hostpath数据卷将宿主机/etc/kubernetes/image-policy目录挂载到容器中
2、准备配置文件
# /etc/kubernetes/image-policy/admission_configuration.yaml
apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: ImagePolicyWebhook
configuration:
imagePolicy:
kubeConfigFile: /etc/kubernetes/image-policy/connect_webhook.yaml # 连接镜像策略服务器配置文件
allowTTL: 50 # 控制批准请求的缓存时间,单位秒
denyTTL: 50 # 控制批准请求的缓存时间,单位秒
retryBackoff: 500 # 控制重试间隔,单位毫秒
defaultAllow: true # 确定webhook后端失效时的行为
2、准备配置文件
apiVersion: v1
kind: Config
clusters:
- cluster:
certificate-authority: /etc/kubernetes/image-policy/webhook.pem # 数字证书,用于验证远程服务
server: https://192.168.31.73:8080/image_policy # 镜像策略服务器地址,必须是https
name: webhook
contexts:
- context:
cluster: webhook
user: apiserver
name: webhook
current-context: webhook 
preferences: {}
users:
- name: apiserver
user:
client-certificate: /etc/kubernetes/image-policy/apiserver-client.pem # webhook准入控制器使用的证书
client-key: /etc/kubernetes/image-policy/apiserver-client-key.pem # 对应私钥证书
3、部署镜像服务器
自己用python开发一个简单的webhook端点服务器,作用是拒绝部署的镜像乜有指定标签(即latest)。
3.1 自签HTTPS证书
3.2 Docker容器启动镜像策略服务
docker run -d -u root --name=image-policy-webhook \ -v $PWD/webhook.pem:/data/www/webhook.pem \ -v $PWD/webhook-key.pem:/data/www/webhook-key.pem \ -e PYTHONUNBUFFERED=1 -p 8080:8080 \
lizhenliang/image-policy-webhook
4、测试
kubectl create deployment web1 --image=nginx:1.16
kubectl create deployment web2 --image=nginx

xiangzilong
关注
专栏目录
Operator实战2:实现webhook修改Job的最大重试次数
吴就业
06-03 389
Kubernetes apiserver提供两种特殊的准入控制器,分别是MutatingAdmissionWebhook和ValidatingAdmissionWebhook。这两种准入控制器,将发送准入请求到外部的HTTP回调服务,并接收准入响应。准入控制器就是在对象持久化之前用于对 Kubernetes API Server 的请求进行拦截处理,在请求经过身份验证和授权之后放行通过。Mutating准入控制器可以修改被处理的资源对象,Validating准入控制器则不能修改。
Istio实战(八)- Istio 动态准入 Webhook 配置
专注基础架构领域
10-25 240
准入 Webhook 是 HTTP 方式的回调,接收准入请求并对其进行相关操作。可定义两种类型的准入 Webhook,Validating 准入 Webhook 和 Mutating 准入 Webhook。使用 Validating Webhook,可以通过自定义的准入策略来拒绝请求;使用 Mutating Webhook,可以通过自定义默认值来修改请求。Istio 使用验证 Istio 配置,使用自动将 Sidecar 代理注入至用户 Pod。
使用 Admission Webhook 机制实现多集群资源配额控制
吉小白的博客
01-12 559
1 要解决的问题 集群分配给多个用户使用时,需要使用配额以限制用户的资源使用,包括 CPU 核数、内存大小、GPU 卡数等,以防止资源被某些用户耗尽,造成不公平的资源分配。 大多数情况下,集群原生的 ResourceQuota 机制可以很好地解决问题。但随着集群规模扩大,以及任务类型的增多,我们对配额管理的规则需要进行调整: ResourceQuota 针对单集群设计,但实际上,开发/生产中经常使用 多集群 环境。 集群大多数任务通过比如deployment、mpijob 等 高级资源对象 进行提交,我们
k8s中Admission webhook
weixin_43114954的博客
10-06 2383
前言 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhookAdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
Admission Webhook 花式玩法,骚得很
云原生实验室
05-13 453
项目由来使用 kubernetes 的同学可能或多或少会有以下的实际业务或者需求场景:为确保安全性,需要对某些资源进行删除保护,例如不允许删除 namespace、crd 定义等;根据服务画像为不同的服务设置不同的属性,这些属性基本是业务无感的,例如设置不同的超售比、设置不同的 Label 以及调度特性从而实现 io 敏感型与 io 密集型服务的反亲和调度等;针对同一个 ...
admission webhooks
qq_34482492的博客
05-02 349
用于准入控制。
Kubernetes 准入控制器Admission Webhook
小楼一夜听春雨,深巷明朝卖杏花
07-20 3229
Admission Webhook准入控制器Webhook准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可以监
admission-control:编写Kubernetes准入控制器的有用的微框架:magnifying_glass_tilted_right::admission_tickets:
04-30
入学控制 :detective: :detective: :detective: 用于为Kubernetes集群构建和部署动态的微框架。... 准入控制提供了许多有用的内置AdmitFunc ,包括: EnforcePodAnnotations确保允许的EnforcePodAnnotat
理清 Kubernetes 中的准入控制(Admission Controller)
k8s 生态
11-30 633
大家好,我是张晋涛。在我之前发布的文章 《云原生时代下的容器镜像安全》(系列)中,我提到过 Kubernetes 集群的核心组件 -- kube-apiserver,它允许来自终端用户或...
Admission Webhook Part 2
yevvzi的博客
10-25 363
目标 本篇文章我们将参照官方的测试实例来一步步添加一个Admission Webhook #配置 webhook证书生成 由上节的配置我们可以看出,我们的webhook必须使用https,所以我们需要生成一个自签名的https证书, ca可以使用自定义的也可以共用apiserver的。 脚本可以参照istio的证书生成脚本: https://raw.githubusercontent.com/is...
18.准入控制器
LQ的博客
10-22 324
18.准入控制器 Admission Controller准入控制器作为把手kubernetes系统安全的最后一道关卡,对已知且有权限用户的操作合规性验证是缺一不可的! 1.什么是准入控制器准入控制器Admission Controller)位于API Server中,在对象被持久化之前,准入控制器拦截对API Server的请求,一般用来做身份验证和授权。 其中包含两个特殊的控制器钩子: MutatingAdmissionWebhook和ValidatingAdmissionWebhook 1
Kubernetes 准入控制器
RayPick的博客
05-26 1209
简而言之,Kubernetes 准入控制器是管理和强制定义集群使用方式的插件。可以将它们看作拦截(经过认证的)API 请求的守门员,可以更改请求对象或完全拒绝请求。准入控制的过程分为两步:先变异(mutate)后验证(validate)。举个例子,LimitRanger 准入控制器在变异阶段使用默认的资源配置来限制容器对资源的使用,并在验证阶段确保容器的资源限制不超过预期的。值得一提的是,许多用户认为内置的 Kubernetes 操作的某些方面实际上由准入控制器管理。
Admission(准入控制器)-2021.12.05
weixin_39246554的博客
12-05 1199
目录 文章目录目录实验环境实验软件1、准入控制器2、admission webhook 是什么3、创建配置一个 Admission Webhook1.编写 webhook2.构建3.部署4、配置 webhook5、测试6、部署 mutating webhook关于我最后 实验环境 实验环境: 1、win10,vmwrokstation虚机; 2、k8s集群:3台centos7.6 1810虚机,1个master节点,2个node节点 k8s version:v1.22.2 containerd.
了解Kubernetes三大门神之一Webhook
happy_85的专栏
07-05 855
Admission Webhook 是提高 Kubernetes 集群安全性的关键组件之一。通过动态审查和修改请求,它可以强制执行安全策略、防止恶意操作,并满足定制化需求。部署 Admission Webhook 需要一些配置和验证步骤,但一旦成功完成,它将为您的 Kubernetes 集群带来更高的安全性和可靠性。
Kubernetes(二十)准入控制器
wzj_110的博客
11-30 302
一 官网 (1)什么是准入控制器? -->'重要' (2)为什么需要准入控制器? -->'重要' (3)如何启用一个准入控制器? -->'重要' (4)怎么关闭准入控制器? (5)哪些插件是默认启用的? -->'知道' (6)每个'准入控制器的作用'是什么? -->'了解核心' 二 进入主题 (1)准入控制器的概念 准入控制器的种类 准入控制器是'一段代码',它会在'请求'通过'认证和授权'之后、'对象被持久化之前'-->'拦截'到达 A...
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)_ admissionconfiguration
最新发布
2401_83627805的博客
04-11 800
client-certificate: /etc/kubernetes/image-policy/apiserver-client.pem # webhook准入控制器使用的证书。certificate-authority: /etc/kubernetes/image-policy/webhook.pem # 数字证书,用于验证远程服务。client-key: /etc/kubernetes/image-policy/apiserver-client-key.pem # 对应私钥证书。
浅识k8s中的准入控制器
weixin_40418457的博客
07-04 1671
背景 在 k8s中各组件和kube apiserver通信时的认证和鉴权 中提到"NodeRestriction准入插件",实际上它是一个"准入控制器"。 "准入控制器"是一个重要的概念,在istio、apisix、某些安全产品中都有用到。 本文简要记录一下以下内容: "准入控制器"是什么 怎么开启"准入控制器" 从源码浅析"准入控制器" 本文使用的k8s集群是用kubekey搭建,
k8s 的admission webhook 部署在集群外,如何创建ssl 文件
Standup-jb的博客
01-18 954
背景 一般情况下,对于webhook服务都是部署在k8s的集群内部的,但是我们这边有需要,需要部署在集群外面的物理机上,但是在MutatingWebhookConfiguration 里面只能配置https,所以需要自己签发证书。整个过程还是踩了坑。把过程记录下来。照着做肯定能成功。 安装cfssl 这个就不放具体的方法了,Google搜索一下。安装后执行一下命令 cfssl version 如果能正常显示如下,就代表安装好了 Version: 1.4.1 Runtime: go1.13.4 使用如下命令
网络安全产品之认识准入控制系统
学而思(xiejava的blog)
02-04 2124
随着企业信息化建设的不断深入,企业的各种信息资产越来越多,网络安全问题也越来越突出。如何防止外来电脑、移动设备接入局域网,保护企业信息资产的安全,成为企业网络管理的重要问题。准入控制系统的出现,为企业提供了一种有效的解决方案。本文我们一起来认识一下准入控制系统。
message: "step app: step apply: step outputs: step hd1-2--0: run step(provider=oam,do=component-apply): DispatchStandardWorkload: cannot apply manifest, name: xp-xmart-asr-boot-zh apiVersion: app.logancloud.com/v1 kind: JavaBoot: cannot patch object: admission webhook \"validation.app.logancloud.com\" denied the request: the pvc xp-xmart-asr-boot-zh-pvc-extreme don't exist in namespace ai."
07-08
根据你提供的信息,看起来出现了一个问题。在应用程序部署的过程中,有一个名为 "xp-xmart-asr-boot-zh" 的 PVC(持久卷声明)在命名空间 "ai" 中不存在,导致无法应用部署清单。可能的原因是该 PVC 还没有创建或者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值