K8s webhook 踩坑记录

已于 2022-08-29 21:47:58 修改
阅读量2.7k 收藏 1
点赞数
分类专栏: 云原生 文章标签: kubernetes webhook go 云原生
于 2022-01-23 00:32:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38376348/article/details/122645681
版权

目录

前提环境

修改demo,实现自己想要的功能

1 修改代码文件中的ip地址

2 讲整个代码项目copy到k8s master节点

3 执行 make setup-kube-for-outcluster

 配置webhook server端 

 kubectl调用尝试并解决bug

 重新测试

创建有环境变量的pod,创建失败

 创建无环境变量的pod,创建成功

​​​​​​​

为了学习K8s webhook,有个大概的了解,参考了做实验Kubernetes admission webhook server 开发教程 - ZengXu's BLOG

前提环境

当前k8s版本情况 kubectl version

检测apiserver是否开启相关支持

apiserver_pod_name=`kubectl get --no-headers=true po -n kube-system | grep kube-apiserver | awk '{ print $1 }'`
kubectl get po $apiserver_pod_name -n kube-system -o yaml | grep plugin
    - --enable-admission-plugins=NodeRestriction,MutatingAdmissionWebhook,ValidatingAdmissionWebhook

 

如果没这几个plugins,则需要加入修改/etc/kubernetes/manifests/kube-apiserver.yaml,加入这几个参数 ,保存之后系统会重启api-server的pod

代码环境

直接git clone https://github.com/phosae/denyenv-validating-admission-webhook.git

修改demo,实现自己想要的功能

原作者在文章中讲到,这个denyenv主要实现的功能是:拒绝创建含环境变量的 Pod

主要部署方式:集群内部署----打成一个pod;集群外部署-----在非集群内请求外部webhook的server 

这里我选择setup-kube-for-outcluster,也就是集群外部署,既然部署webhook,证书之类的认证必不可少,这里有两种签名方式作者已经讲述过,一种为 Kubernetes CertificateSigningRequest 签发证书,另一种为cert-manager管理证书,运行make setup-kube-for-outcluster脚本里面调用的签名方式为 Kubernetes CertificateSigningRequest

主要几个地方

1 修改代码文件中的ip地址

我物理机的ip为192.168.0.100,修改以下几处

2 讲整个代码项目copy到k8s master节点

省略

3 执行 make setup-kube-for-outcluster

注意,这里在遇到了报错,原因是在调用set-kube-ca-v1.20+.sh的时候,获取kube-root-ca.crt遇到了报错,所以脚本的patch部分也是错的,patch了个空值应该是,这里先继续,接下来会讲怎么跳出这个坑 

 配置webhook server端 

在物理机新建个文件夹

然后讲生成的证书文件拉到物理机

结合代码文件,配置物理机环境变量CERT_DIR,也就是证书目录,服务是htpps起来的 

export CERT_DIR= 

起webhook服务端

 kubectl调用尝试并解决bug

结合之前作者的文章,我们进行测试,发现遇到了证书问题,这也就上文最开始的地方 执行 make setup-kube-for-outcluster遇到的那个bug,注册webhook的时候少了caBundle值

 caBundle的获取需要先获取之前脚本创建的secret

kubectl get secret denyenv-tls-secret

 获取证书编码

kubectl get secret denyenv-tls-secret -o yaml

or

kubectl get secret denyenv-tls-secret -o jsonpath='{.data.tls\.crt}' 

删除原有的注册的ValidatingWebhookConfiguration

 手工加上

 重新注册一遍

注册成功 

 重新测试

创建有环境变量的pod,创建失败

kubectl run nginx --image nginx --env='FOO=BAR'

同时看到了日志 

 创建无环境变量的pod,创建成功

kubectl run nginx --image nginx

断点调试

参考:Kubernetes admission webhook server 开发教程 - ZengXu's BLOG

参考:https://github.com/phosae/denyenv-validating-admission-webhook 

参考:k8s admission webhook初探_u012803274的博客-CSDN博客_k8s自定义webhook 

参考:从0到1开发K8S_Webhook最佳实践 - 知乎 

Adsatrtgo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8s 中的 Operator 添加 Webhook 功能【保姆级】
m0_73257876的博客
09-13 1015
准入控制器是在对象持久化之前用于对 Kubernetes API Server 的请求进行拦截的代码段,在请求经过身份验证和授权之后放行通过。准入控制器可能正在 validating、mutating 或者都在执行,Mutating 控制器可以修改他们处理的资源对象,Validating 控制器不会,如果任何一个阶段中的任何控制器拒绝了请求,则会立即拒绝整个请求,并将错误返回给最终的用户。时序图如下所示:如果我们想为 CRD 实现 admission webhook,我们唯一要做的就是实现。
k8swebhook
02-24 1193
提供了动态准入控制,这种控制就是采用webhook方式实现,具体分两种方式,一种是验证性质,(validating admission webhook),另一种方式修改性质准入(mutating admission webhook),这两种方式都是资源持久化到etcd的时候进行验证与修改,这种使用方式可以用在其他方案设计中,但是这个使用也是有缺点,比如在大量频发资源创建情况,webhook的性能将会是一种瓶颈。
推荐一个强大的Laravel Webhook管理工具:laravel-webhook-server
最新发布
gitblog_00079的博客
05-17 264
推荐一个强大的Laravel Webhook管理工具:laravel-webhook-server 项目地址:https://gitcode.com/spatie/laravel-webhook-server Webhook是一种应用程序间通信的实用方式,通过HTTP请求传递信息以响应特定事件。对于开发人员来说,有效地管理和发送webhook至关重要。这就是为何我们想要向您介绍一个由Spatie制...
k8s中Admission webhook
weixin_43114954的博客
10-06 2334
前言 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhook。 AdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
K8S自定义webhook实现认证管理
wanger5354的博客
12-08 3146
 作者:乔克 公众号:运维开发故事 知乎:乔克叔叔 博客:https://www.coolops.cn大家好,我是乔克。在Kubernetes中,APIServer是整个集群的中枢神经,它不仅连接了各个模块,更是为整个集群提供了访问控制能力。Kubernetes API的每个请求都要经过多阶段的访问控制才会被接受,包括认证、授权、准入,如下所示。客户端(普通账户、ServiceAccount等)想要访问Kubernetes中的资源,需要通过经过APIServer的三大步骤才能正常访问,三大步骤如下
k8s Webhook 使用java springboot实现webhook 学习总结
liuyij3430448的博客
07-27 3830
kubernetes利用webhook可以实现类似Java Web Filter的功能,拦截对资源的操作请求。 将操作**增强**或者**拦截验证** 创建一个Pod,可以对这个操作添加额外的配置,比如添加标签,添加容器,添加挂载等,或者验证Pod操作是不是满足某些要求,不满足则不执行等
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
K8S学习指南(35)-k8s权限管理模型webhook
俞兆鹏的博客
12-23 1296
通过本文,我们深入了解了Kubernetes中权限管理模型Webhook的基本概念、核心组件,并通过详细的示例演示了如何创建一个简单的Webhook服务,以及如何使用Webhook实现对Pod创建请求的权限控制。本文将深入研究KubernetesWebhook的基本概念、核心组件,以及通过详细的示例演示如何实现基于Webhook的权限管理。在示例中,我们将创建一个简单的Webhook服务,用于验证Pod的名称是否符合特定的命名规范。你会发现该Pod的创建请求被拒绝,因为它的名称不符合规范。
了解Kubernetes三大门神之一Webhook
happy_85的专栏
07-05 783
Admission Webhook 是提高 Kubernetes 集群安全性的关键组件之一。通过动态审查和修改请求,它可以强制执行安全策略、防止恶意操作,并满足定制化需求。部署 Admission Webhook 需要一些配置和验证步骤,但一旦成功完成,它将为您的 Kubernetes 集群带来更高的安全性和可靠性。
云原生 | Kubernetes - Webhook 模式
Trollz的博客
01-18 1554
版本兼容规则
使用WebhookKubernetes实现基于标签的权限控制
NewTyun的博客
03-16 864
新钛云服已为您服务998天Kubernetes支持名称空间级别的权限控制。但是,有时这不能满足我们的要求。例如,在Akraino ICN项目中,我们有一些高级权限要求:多个用户可以在同一名...
Kubernetes WebHook 入门 -- 入门案例: apiserver 接入 github
aifeier的博客
01-09 2463
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
kubernetes 动态webhook的使用
weixin_43855694的博客
03-06 2482
准入控制器概念 k8s apiserver 在处理每一个操作资源对象的请求时,在经过认证(是否为合法用户)/ 鉴权(用户是否拥有权限)后,并不会直接根据端点资源类型和 rest 动作直接执行操作,在这中间,请求会被一系列准入控制器插件(Admission Controller)进行拦截,校验其是否合乎要求,亦或是对特定资源进行配置。 准入机制 如果所有的 webhooks 批准请求,准入控制链继续流转; 如果有任意一个 webhooks 阻止请求,那么准入控制请求终止,并返回第一个 webhook 阻止的
运维实战 容器部分 Kubernetes存储
黑羽冰音的博客
05-17 702
ConfigMap简单使用+Secret简单使用+Volume入门知识+PV持久化存储+StatefulSet控制器
Kubernetes学习笔记七:ConfigMap和Secret
liuffei的专栏
02-20 676
ConfigMap和Secret实战
kubectl describe pod 里边没有看到events问题解决【详细步骤】
marlinlm的博客
12-25 9658
解决kubectl describe pod 里边没有看到events问题。
企业运维之 kubernetes(k8s) 的存储
z17609273238的博客
09-19 1098
Configmap用于保存配置数据,以键值对形式存储;ConfigMap资源提供了向Pod注入配置数据的方法,旨在让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性;典型的使用场景有:填充环境变量的值、设置容器内的命令行参数、填充卷的配置文件1.创建ConfigMap的方式有4种:使用字面值创建、使用文件创建、使用目录创建、编写configmap的yaml文件创建 2.如何使用configmap: 示例:Secret对象类型用来保存敏感信息,例如密码、OAuth令牌和ssh key;敏感信息放
k8s使用外部ca证书
qyq88888的专栏
02-24 1559
k8s 使用 ca证书参考
webhook【钩子】零开发基础--实现服务器运行shell命令 、自动部署
勤不了一点
04-21 3525
webhook 零开发基础--实现服务器运行shell命令 、自动部署
k8s webhook
05-31
审计 Webhook 可以将 Kubernetes API 操作发送到远程 Webhook 服务器进行记录或处理。例如,您可以定义一个审计 Webhook,以便在 Pod 被删除时将其发送到您的安全信息和事件管理系统。 要创建 Webhook,您需要编写...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值