k8s sidecar开发-webhook开发

已于 2022-03-10 15:54:43 修改
阅读量897 收藏 1
点赞数
分类专栏: k8s golang 文章标签: kubernetes go
于 2022-03-10 15:51:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36980207/article/details/123403236
版权
golang 同时被 2 个专栏收录
11 篇文章 0 订阅
订阅专栏
k8s
7 篇文章 0 订阅
订阅专栏

1.首先需要申请一个secret,用来在进行webhook的时候apiserver访问我们的webhook服务器的时候进行证书认证。

[ -z ${service} ] && service=logcar-service
[ -z ${secret} ] && secret=logcar-secret
[ -z ${namespace} ] && namespace=kube-system

if [ ! -x "$(command -v openssl)" ]; then
    echo "openssl not found"
    exit 1
fi

csrName=${service}.${namespace}
tmpdir=$(mktemp -d)
echo "creating certs in tmpdir ${tmpdir} "

cat <<EOF >> ${tmpdir}/csr.conf
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = CN
ST = HangZhou
L = LA
O = Personal
OU = King
CN = ${service}.${namespace}.svc

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = ${service}.${namespace}.svc

[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names
EOF

openssl req -x509 -nodes -new -sha256 -days 3650 -newkey rsa:2048 -subj "/CN=${service}.${namespace}.svc" \
  -keyout ${tmpdir}/ca.key \
  -out ${tmpdir}/ca.crt
openssl genrsa -out ${tmpdir}/server.key 2048
openssl req -new -key ${tmpdir}/server.key -out ${tmpdir}/server.csr -config ${tmpdir}/csr.conf
openssl x509 -req -in ${tmpdir}/server.csr -CA ${tmpdir}/ca.crt -CAkey ${tmpdir}/ca.key \
  -CAcreateserial -out ${tmpdir}/server.crt -days 3650 \
  -extensions v3_ext -extfile ${tmpdir}/csr.conf

kubectl create secret generic ${secret} -n ${namespace} \
  --from-file=${tmpdir}/ca.crt \
  --from-file=${tmpdir}/server.key \
  --from-file=${tmpdir}/server.crt

2.接着是一些webhook需要使用到的serviceAccount,rbac和service。

apiVersion: v1
kind: Service
metadata:
  name: logcar-service
  namespace: kube-system
spec:
  selector:
    app: webhook
  ports:
    - port: 18090
      targetPort: 18090
  type: NodePort
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: sidecar-sa
  namespace: kube-system
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: sidecar-role
rules:
  - apiGroups: [""]
    resources: ["pods","nodes","configmaps","secret","serviceaccounts"]
    verbs: ["get","list","watch","update","create"]
  - apiGroups: ["apps"]
    resources: ["deployments"]
    verbs: ["get","list","watch","update","create"]
  - apiGroups: ["batch"]
    resources: ["job"]
    verbs: ["get","list","watch","update","create"]
  - apiGroups: ["rbac.authorization.k8s.io"]
    resources: ["roles","rolebindings"]
    verbs: ["get","list","watch","update","create"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: sidecar-bind
subjects:
  - kind: ServiceAccount
    name: sidecar-sa
    namespace: kube-system
roleRef:
  kind: ClusterRole
  name: sidecar-role
  apiGroup: rbac.authorization.k8s.io

3.接着就可以添加webhook了。

apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: webhook-config
  namespace: kube-system
  labels:
    app: webhook
webhooks:
  - name: ${service}.${namespace}.svc
    clientConfig:
      service:
        name: logcar-service
        namespace: kube-system
        path: "/sidecar-mutating"
        port: 18090
      caBundle: $(kubectl get secret ${secret} -n ${namespace} -o jsonpath='{.data.ca\.crt}')
    rules:
      - apiGroups: [ "apps" ]
        apiVersions: [ "v1" ]
        operations: [ "CREATE","UPDATE" ]
        resources: [ "deployments" ]
        scope: "*"
      - apiGroups: [ "" ]
        apiVersions: [ "v1" ]
        operations: [ "CREATE","UPDATE" ]
        resources: [ "pods" ]
        scope: "*"
      - apiGroups: [ "batch" ]
        apiVersions: [ "v1" ]
        operations: [ "CREATE","UPDATE" ]
        resources: [ "jobs" ]
        scope: "*"
    admissionReviewVersions: ["v1", "v1beta1"]
    sideEffects: None
    timeoutSeconds: 10

4.接着编写webhook的代码。

func (l *LogCarWebhook) Run() {
	mux := http.NewServeMux()
    //只要把webhookconfig里面的地址写进去就可以
	mux.HandleFunc("/sidecar-mutating", l.Inject)

	fmt.Println("sidecar running in https:0.0.0.0:18090")
	err := http.ListenAndServeTLS(":18090", l.config.CertFile, l.config.KeyFile, mux)
	if err != nil {
		panic(err)
	}
}

 5.最后把代码部署上去就可以了。需要注意这里要把前面的secret mount到pod里面,https服务起来的时候要使用。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: logcar-webhook
  namespace: kube-system
  labels:
    app: webhook
spec:
  replicas: 1
  template:
    metadata:
      name: logcar-pod
      labels:
        app: webhook
    spec:
      containers:
        - name: webhook-app
          image: yh960124/logcarwebhook
          imagePullPolicy: Always
          volumeMounts:
            - name: webhook-certs
              mountPath: /etc/webhook/certs
              readOnly: true
          ports:
            - containerPort: 18090
              protocol: TCP
      volumes:
        - name: webhook-certs
          secret:
              secretName: ${secret}
      serviceAccountName: sidecar-sa
  selector:
    matchLabels:
      app: webhook

点击查看所有代码

感觉很想你
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kube-mutating-webhook-tutorial:一个实现sidecar注入的Kubernetes变异Webhook服务器
05-09
Kubernetes突变Webhook用于Sidecar注入 此tutoral显示了如何构建和部署 :注射nginx的边车容器插入到持久对象的现有吊舱。 先决条件 v1.12 +版本 版本17.03+ 版本v1.11.3 + 访问Kubernetes v1.11.3 +集群与admissionregistration.k8s.io/v1beta1 API启用。 通过以下命令进行验证: kubectl api-versions | grep admissionregistration.k8s.io 结果应为: admissionregistration.k8s.io/v1 admissionregistration.k8s.io/v1beta1 注意:此外,应添加MutatingAdmissionWebhook和ValidatingAdmissionWebhook接纳控制器,并以正
Laravel开发-laravel-webhook
08-28
Laravel开发-laravel-webhook Webhook
prometheus-webhook-dingtalk-1.4.0告警插件一键部署
12-30
原文链接:https://blog.csdn.net/m0_37814112/article/details/122170537
lxcfs-admission-webhook
05-25
LXCFS的Kubernetes准入Webhook 该项目显示了如何为构建和部署 。 先决条件 Kubernetes 1.9.0或以上与admissionregistration.k8s.io/v1beta1 API启用。 通过以下命令进行验证: kubectl api-versions | grep admissionregistration.k8s.io/v1beta1 结果应为: admissionregistration.k8s.io/v1beta1 此外,应添加MutatingAdmissionWebhook和ValidatingAdmissionWebhook接纳控制器,并以正确的顺序在kube-apiserver的接纳控制标志中列出。 建造 设定部 回购使用作为其Go代码库的依赖项管理工具。 通过以下命令安装dep : go get -u github.com/g
k8s-sidecar-injector:Kubernetes边车注入服务
02-03
k8s边车喷油器 使用Kubernetes中的MutatingAdmissionWebhook在资源创建时将辅助工具注入新的部署中 这是什么? 在Tumblr,我们运行一些具有复杂的边车设置的容器。 kubernetes容器可以运行5个以上的其他容器,以及一些关联的卷和环境变量。 很快就知道,将这些边车保持在一条直线上将成为操作上的麻烦。 确保每个服务使用每个依赖项的正确版本,随着DC的配置更改而更新全局环境变量集,等等。 为了解决这个问题,我们编写了k8s-sidecar-injector 。 这是一个小型服务,它在每个Kubernetes集群中运行,并通过webhooks监听Kubernetes API。 对于每个吊舱创建,注入程序都会获得一个(变异入场)webhook,询问是否允许吊舱启动,以及是否允许对吊舱进行什么更改。 对于在其上具有特殊注释的Pod(即injector.tumblr.com/request=logger:v1 ),我们重写了pod配置,以包括容器,卷,卷挂载,主机别名,init容器和环境变量,这些变量在sidecar logger:v1的配置。 这使我
kubernetes开发自定义webhook
记录成长,分享收获。
06-24 948
这篇文章将带着我们从头开始部署自己的webhook。本文适合对kuberneteswebhook有一定认知和了解的读者,帮助读者快速部署自己的webhook,话不多说直接开始。
Kubernetes 开发【1】——webhook 实现 API Server 请求拦截和修改
kingu_crimson的博客
08-04 1261
admission controller是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器编译进可执行文件,并且只能由集群管理员配置。使用准入控制器 | Kubernetes我们也可以通过自己编写一段代码二次开发来实现更为高级更为复杂的需求,官方有具体的实例,该实例的用途是即仅允许pod从指定的镜像仓库拉取image,否则apiserver将会拒绝本次请求。............
Kubernetes WebHook 入门 -- 入门案例: apiserver 接入 github
最新发布
aifeier的博客
01-09 2195
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
K8S自定义webhook实现认证管理
wanger5354的博客
12-08 3054
 作者:乔克 公众号:运维开发故事 知乎:乔克叔叔 博客:https://www.coolops.cn大家好,我是乔克。在Kubernetes中,APIServer是整个集群的中枢神经,它不仅连接了各个模块,更是为整个集群提供了访问控制能力。Kubernetes API的每个请求都要经过多阶段的访问控制才会被接受,包括认证、授权、准入,如下所示。客户端(普通账户、ServiceAccount等)想要访问Kubernetes中的资源,需要通过经过APIServer的三大步骤才能正常访问,三大步骤如下
【良品】k8s的sidecar原理及实例妙解
Friendsofthewind的博客
11-19 2892
先要理解下面的shell脚本意思:执行之后会发现,每隔1秒屏幕将时间输出到/var/present.log文件中$(date)再执行命令,可查看到pod内指定容器的日志:kubectl logs -f po/present busybox为什么用它?可能有疑问,为什么不直接用这个命令?而要多此一举。因为,那样,日志分散存在每个容器中,不方便统一管理,采取sidecar方式,万一某个容器挂了,日志自然也无法查看,它的日志若是存在sidecar里,即便如此,也可以存在。
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
alertmanager-webhook-adapter
04-12
跑步生成并运行$ cd cmd/alertmanager-webhook-adapter$ go build -v -x$ ./alertmanager-webhook-adapter# see help$ ./alertmanager-webhook-adapter -h# Add signature for sent messages$ ./alertmanager-...
k8s 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
qq_35679620的博客
05-19 1862
k8s 资源对象实现超卖 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
阿里云Kubernetes容器服务Istio实践之Sidecar自动注入
weixin_34389926的博客
07-31 1064
概述 在前面系列文章中已经介绍了Istio及其各个核心组件,详述了如何利用阿里云Kubernetes容器服务,快速搭建一套用于连接、管理以及保护微服务的开放平台Istio,为应用引入和配置多个相关服务;并且通过一个官方示例演示了如何部署应用到上述Istio环境中,演示了如何设置智能路由、分布式追踪以及Istio 的遥测数据收集、查询及可视化等功能。 回顾...
kuberneteswebhook开发(一篇搭好开发架构)
weixin_40965647的博客
08-02 781
webhookkuberneteswebhook开发实例 介绍 Webhook就是一种HTTP回调,用于在某种情况下执行某些动作,Webhook不是K8S独有的,很多场景下都可以进行Webhook,比如在提交完代码后调用一个Webhook自动构建docker镜像 K8S中提供了自定义资源类型和自定义控制器来扩展功能,还提供了动态准入控制,其实就是通过Webhook来实现准入控制,分为两种:验...
了解Kubernetes三大门神之一Webhook
happy_85的专栏
07-05 613
Admission Webhook 是提高 Kubernetes 集群安全性的关键组件之一。通过动态审查和修改请求,它可以强制执行安全策略、防止恶意操作,并满足定制化需求。部署 Admission Webhook 需要一些配置和验证步骤,但一旦成功完成,它将为您的 Kubernetes 集群带来更高的安全性和可靠性。
K8S Webhook研究
SHELLCODE_8BIT的博客
04-18 1111
从0到1开发K8S_Webhook最佳实践 - 知乎 (zhihu.com)
Kubernetes APIServer 认证 基于Webhook的认证服务集成
小楼一夜听春雨,深巷明朝卖杏花
07-12 701
之前我们学习了kubernetes有哪些认证插件,通过几个简单的最基础的认证方式,包括静态token,包括x509,包括serviceaccount,理解了认证插件是如何运作的。如果要将一个k8s集群落地到你的企业,要做生产化运维的时候,你往往要做的的第一步就是和企业内部的认证平台去做集成。如果只是小的集群,只有几个人使用,那么是没有必要的,因为k8s本身是开放式的平台,一般落地生产集群的时候,可以通过一些机制把它构建为多租户的平台,可以让企业用户都来使用这个平台。可以通过和认证集成,通过权限控制,通过配额
golang中channel的底层实现
qq_36980207的博客
09-10 7777
type hchan struct { qcount uint dataqsiz uint //channel的大小 buf unsafe.Pointer elemsize uint16 closed uint32 elemtype *_type sendx uint recvx uint r...
prometheus-webhook-dingtalk
08-16
prometheus-webhook-dingtalk 是一个用于将 Prometheus 监控告警消息发送到钉钉的 Webhook 工具。它可以帮助你将 Prometheus 监控告警通过钉钉机器人发送到指定的群组或用户。 你可以通过以下步骤来配置和使用 prometheus-webhook-dingtalk: 1. 安装 prometheus-webhook-dingtalk:你可以使用 Go 工具链来安装 prometheus-webhook-dingtalk,运行以下命令: ``` go get github.com/timonwong/prometheus-webhook-dingtalk/cmd/dingtalk ``` 2. 创建钉钉机器人:在钉钉中创建一个自定义机器人,并获取到它的 Webhook 地址,用于将告警消息发送到指定的群组或用户。 3. 创建配置文件:在 prometheus-webhook-dingtalk 的配置文件中,你需要指定钉钉机器人的 Webhook 地址以及其他相关参数。你可以创建一个名为 config.yml 的配置文件,并将以下示例内容填入: ```yaml listen: 0.0.0.0:8060 dingtalk: webhook: https://oapi.dingtalk.com/robot/send?access_token=your_webhook_token ``` 4. 启动 prometheus-webhook-dingtalk:运行以下命令来启动 prometheus-webhook-dingtalk: ``` dingtalk -config.file=config.yml ``` 5. 配置 Prometheus:在 Prometheus 的配置文件中,添加以下内容来指定告警消息的接收端: ```yaml receivers: - name: 'dingtalk' webhook_configs: - url: 'http://prometheus-webhook-dingtalk:8060/dingtalk/webhook' ``` 6. 重新启动 Prometheus:确保 Prometheus 已经重新加载了配置文件,并重启 Prometheus 服务。 现在,当 Prometheus 监控触发告警时,prometheus-webhook-dingtalk 将会将告警消息发送到钉钉机器人的 Webhook 地址,从而通知到指定的群组或用户。 请注意,以上步骤仅为一般示例,实际操作可能会因环境和需求而有所不

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值