使用webhook禁止k8s创建顶级域名的命名空间

最新推荐文章于 2024-09-16 12:23:15 发布
最新推荐文章于 2024-09-16 12:23:15 发布
阅读量439 收藏 10
点赞数 5
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_24354307/article/details/141968273
版权

通过创建与公共顶级域名同名的名字空间, 这些名字空间中的服务可以拥有与公共 DNS 记录重叠的、较短的 DNS 名称。 所有名字空间中的负载在执行 DNS 查找时, 如果查找的名称没有尾部句点, 就会被重定向到这些服务上,因此呈现出比公共 DNS 更高的优先序。

为了缓解这类问题,需要将创建名字空间的权限授予可信的用户。

或者额外部署第三方的安全控制机制, 例如以准入 Webhook 的形式,阻止用户创建与公共 TLD 同名的名字空间,也就是本文的内容。

环境

ubuntu 22.04

kubernetes 1.28.2

步骤一:准备证书

说明,apiserver访问webhook服务必须走https,需要准备证书(域名是webhook的service)。ca我们复用k8s的自签ca。

1.生成私钥和证书签名请求 (CSR)

首先,生成一个私钥和证书签名请求 (CSR)。

1.生成私钥:

openssl genrsa -out /etc/kubernetes/pki/webhook-service.key 2048

2.创建一个 CSR 配置文件 csr.conf,内容如下:

req_extensions = v3_req
distinguished_name = req_distinguished_name
prompt = no

[req_distinguished_name]
CN = webhook-service.default.svc

[v3_req]
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = webhook-service.default.svc
DNS.2 = webhook-service.default.svc.cluster.local

3.使用私钥和 CSR 配置文件生成证书签名请求:

openssl req -new -key /etc/kubernetes/pki/webhook-service.key -out /etc/kubernetes/pki/webhook-service.csr -config csr.conf
2.使用 Kubernetes CA 签发证书

现在我们使用 Kubernetes 的 CA 证书 /etc/kubernetes/pki/ca.crt 和 CA 密钥 /etc/kubernetes/pki/ca.key 来签发证书。

使用 openssl 签发证书:

openssl x509 -req -in /etc/kubernetes/pki/webhook-service.csr -CA /etc/kubernetes/pki/ca.crt -CAkey /etc/kubernetes/pki/ca.key -CAcreateserial -out /etc/kubernetes/pki/webhook-service.crt -days 365 -extensions v3_req -extfile csr.conf

这会生成一个自签名的证书 /etc/kubernetes/pki/webhook-service.crt,有效期为 365 天。

验证证书

openssl x509 -in /etc/kubernetes/pki/webhook-service.crt -text -noout
步骤二:写webhook的程序(golang)
package main

import (
    "encoding/json"
    "net/http"

    admv1 "k8s.io/api/admission/v1"
    metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
)

// 可根据需要扩展,TLD清单参考:https://data.iana.org/TLD/tlds-alpha-by-domain.txt
var publicTLDs = []string{"com", "org", "net", "gov", "edu", "mil", "cn", "jp"} 

func admitNamespace(ar *admv1.AdmissionReview) *admv1.AdmissionResponse {
    nsName := ar.Request.Name
    for _, tld := range publicTLDs {
        fmt.Println(nsName,1,tld)
        if nsName==tld {
            return &admv1.AdmissionResponse{
                Allowed: false,
                Result: &metav1.Status{
                    Message: "Namespace name matches a public TLD.",
                },
            }
        }
    }
    return &admv1.AdmissionResponse{Allowed: true}
}

func serve(w http.ResponseWriter, r *http.Request) {
    var admissionReview admv1.AdmissionReview
    if err := json.NewDecoder(r.Body).Decode(&admissionReview); err != nil {
        http.Error(w, err.Error(), http.StatusBadRequest)
        return
    }
    admissionResponse := admitNamespace(&admissionReview)
    admissionReview.Response = admissionResponse
    admissionReview.Response.UID = admissionReview.Request.UID
    json.NewEncoder(w).Encode(admissionReview)
}

func main() {
    http.HandleFunc("/validate", serve)
    http.ListenAndServeTLS(":8443", "/etc/kubernetes/pki/webhook-service.crt", "/etc/kubernetes/pki/webhook-service.key", nil)

打包出的执行程序为:main

步骤三:部署服务
1. 部署webhook的dp和service

说明:本程序仅为测试,所以直接用nodeSelector直接把pod锁定到指定node上了。该node是golang程序所在的node,为了测试方便。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: webhook-server
  namespace: default 
  labels:
    app: webhook-server
spec:
  replicas: 1
  selector:
    matchLabels:
      app: webhook-server
  template:
    metadata:
      labels:
        app: webhook-server
    spec:
      containers:
      - name: webhook-server
        image: busybox:latest
        command: ["/opt/main"]
        imagePullPolicy: IfNotPresent
        ports:
        - containerPort: 8443
        volumeMounts:
        - name: tls-certs
          mountPath: /etc/kubernetes/pki
          readOnly: true
        - name: program
          mountPath: /opt
          readOnly: true
      volumes:
      - name: tls-certs
        hostPath:
          path: /etc/kubernetes/pki
      - name: program
        hostPath:
          path: /root/yang/go
      nodeSelector:
        kubernetes.io/hostname: vm38
      tolerations:
      - key: "node-role.kubernetes.io/control-plane"
        effect: "NoSchedule"
---
apiVersion: v1
kind: Service
metadata:
  name: webhook-service
  namespace: default
  labels:
    app: webhook-server
spec:
  ports:
    - port: 443
      targetPort: 8443
      protocol: TCP
  selector:
    app: webhook-server

kubectl apply -f 上面的yaml文件

2.部署ValidatingWebhookConfiguration

官方文档:ValidatingWebhookConfiguration | Kubernetes

官方文档:https://kubernetes.io/zh-cn/docs/reference/access-authn-authz/extensible-admission-controllers/

说明:

​ 1.请参阅官方文档

​ 2.下面yaml中clientConfig部分就是webhook服务的配置

​ 3.caBundle是步骤一中ca证书的Base64编码格式,生成的命令为:cat /etc/kubernetes/pki/ca.crt | base64 | tr -d '\n'

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: prevent-public-tld-ns
webhooks:
  - name: prevent-public-tld-ns.k8s.io
    clientConfig:
      service:
        name: webhook-service
        namespace: default
        path: "/validate"
      caBundle: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURCVENDQWUyZ0F3SUJBZ0lJR1k2NDdMdnZjTGt3RFFZSktvWklodmNOQVFFTEJRQXdGVEVUTUJFR0ExVUUKQXhNS2EzV***********************************ZjhhTk0yNmZQTzdSK2gxTDBjCmRXbk1QdzR3cXU5emFYSEJyK2pneUsyRHVIOER6QnFYWjZXSVp4ZXRmRm1KMjRRV3dITCs0OEdtUGpWbGFRMUYKbkhYdkV5clhZclVJCi0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K
    rules:
      - operations: ["CREATE"]
        apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["namespaces"]
    admissionReviewVersions: ["v1"]
    sideEffects: None

kubectl apply -f 上面的yaml文件

步骤四:验证
# 执行下面命令尝试创建com命名空间,失败
kubectl create namespace com
# 输出报错提示如下:
Error from server: admission webhook "prevent-public-tld-ns.k8s.io" denied the request: Namespace name matches a public TLD.

# 执行下面命令尝试创建普通命名空间,成功
kubectl create namespace yeluomen
# 正常
namespace/yeluomen created

kubectl get namespaces

验证com这个命名空间确实没有创建出来,yeluomen命名空间创建出来了,完美!

yeluomen
关注
Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 2904
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
KubeCon+CloudNativeCon 资料
程序员光剑
07-28 1620
2019年9月27日至29日,KubeCon + CloudNativeCon(KubeCon+CloudNativeCon)全球开发者大会在加拿大多伦多举行,Kubernetes、Envoy、Istio、CoreDNS、Containerd、Fluentd、OpenTracing等云原生领域的顶级技术专家及工程师出席分享交流。国内著名云计算巨头阿里巴巴、腾讯、百度、华为等都派出代表参加了此次大会。
K8S通过Ansible安装集群
github_38730134的博客
05-10 1702
介绍K8S集群安装
黑马 k8s 笔记
程序猿阿蛮
03-23 2938
Kub ernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署
Kubernetes(k8s)从入门到精通
kuokay的博客
09-15 6159
Kubernetes Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:与虚拟化类似,但是共享了操作
k8s——安全机制
sea_bunch的博客
06-07 1330
RoloBinding 可以将角色中定义的权限授予用户或用户组,RoleBinding 包含一组主体(subject),subject 中包含有不同形式的待授予权限资源类型(User、Group、ServiceAccount)RoloBinding 同样包含对被绑定的 Role 引用;RoleBinding 适用于某个命名空间内授权,而 ClusterRoleBinding 适用于集群范围内的授权准入控制是API Server的一个准入控制器插件列表,通过添加不同的插件,实现额外的准入控制规则。
Kubernates(k8s)工作负载之工作负载资源
纸上得来终觉浅,绝知此事要躬行
04-29 1324
目录 Deployments 用例 创建 Deployment Pod-template-hash 标签 更新 Deployment 翻转(多 Deployment 动态更新) 更改标签选择算符 回滚 Deployment 检查 Deployment 上线历史 回滚到之前的修订版本 缩放 Deployment 比例缩放 暂停、恢复 Deployment Deployment 状态 进行中的 Deployment 完成的 Deployment 失败的 Deploymen...
Kubernetes笔记资料
孤独天狼的博客
03-13 354
Kubernetes笔记资料
云原生--Kubernetes】安全机制
夏颜的博客
08-06 858
用户通过安全端口访问k8s的api server需要过三关:认证、授权、准入控制 - Authentication认证: 用于识别用户身份 - Authorization授权: 确认是否对资源具有相关的权限 - Admission Control准入控制: 判断操作是否符合集群的要求...
k8s 容忍和污点
batman
09-12 737
该值定义尽量避免将Pod调度到存在其不能容忍的Taint的节点上,但并不是强制的,也就是说,一个没有配置Toleration的Pod会优先部署至其他节点,没有其他可以调度的节点时,还是可以部署到effect为PreferNoSchedule的节点上的,NoSchedule没有这种机制。如果未被过滤的Taint中不存在effect值为NoExecute的Taint,但是存在effect值为PreferNoSchedule的Taint,则Kubernetes会尝试将Pod分配到该节点。
k8s环境搭建
m0_72009757的博客
09-11 794
yum clean all && yum makecachevim /etc/selinx/config
k8s环境下的相关操作
weixin_70754025的博客
09-12 1207
9.12 k8scalico的部署# ls# 切换 git 分⽀分支 manual-installation-v1.28.x 设置为跟踪来自 origin 的远程分支 manual-installation-v1.28.x。切换到一个新分支 'manual-installation-v1.28.x'•# 修改配置文件,将文件中的POD_CIDR替换成172.16.0.0/16••# 创建pod•# 查看日志•# 出现问题就去节点查看日志更新并重新启动,三台机器。
金钥匙系列:Kubernetes (K8s) 服务集群技术栈学习路线
百锦再的博客
09-14 3671
维护 Kubernetes 服务集群是一项技术含量高且复杂的工作,需要多方面的知识与技能,包括 Linux 基础、网络、容器化技术、Kubernetes 核心概念与实践、集群管理、安全、高可用性、监控、日志、CI/CD 集成等。通过扎实的基础学习和大量的实践操作,你可以逐步掌握这些技术栈,并在企业级 Kubernetes 集群维护中发挥重要作用。学习 Kubernetes 不仅仅是为了掌握一项技术,更是为了理解云原生架构背后的思维方式和工作流,这对未来的职业发展也具有非常重要的意义。
k8s介绍及部署
最新发布
HoweWWW的博客
09-16 1145
在Docker 作为高级容器引擎快速发展的同时,在Google内部,容器技术已经应用了很多年Borg系统运行管理着成千上万的容器应用。Kubernetes项目来源于Borg,可以说是集结了Borg设计思想的精华,并且吸收了Borg系统中的经验和教训。Kubernetes对计算资源进行了更高层次的抽象,通过将容器进行细致的组合,将最终的应用服务交给用户。kubernetes的本质是一组服务器集群,它可以在集群的每个节点上运行特定的程序,来对节点中的容器进行管理。自我修复。
9.11-kubeadm方式安装k8s
qq_70752758的博客
09-11 648
配置pod的yaml文件和docker-compose.uaml文件相似。
k8s的安装
weixin_70752007的博客
09-11 1117
9.下载yaml文件,从gitee上下载,配置的pod的yaml文件和docker-compose.yaml文件相似,等我的k8s架构搭建起来以后,在添加功能性pod的时候使用。Active: active (running) since 三 2024-09-11 11:40:38 CST;--在k8s-node01和k8s-node02上,先systemctl stop kubelet。--四个源镜像 aliyun ,epel, kubernetes,docker-ce。
k8s的搭建
m0_73671133的博客
09-13 1217
准备三台主机:网段:Pod ⽹段 172.16.0.0/16Service ⽹段 10.96.0.0/16注:宿主机⽹段、Pod ⽹段、Service ⽹段不能重复,服务器 IP 地址不能设置为 DHCP,需配置为静态 IP。
k8s的环境配置
weixin_70693880的博客
09-11 1276
找到第63行修改为sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"# 添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128行)# 修改第12行、24行、29行的ip地址为自己本机的ip地址。# 修改第12行、24行、29行的ip地址为自己本机的ip地址。
k8s webhook
05-31
Kubernetes 中,Webhook 是一种机制,可以让用户在资源被 Kubernetes API 服务器创建、更新或删除之前或之后执行自定义代码。Webhook 分为两类:准入控制 Webhook 和审计 Webhook。 准入控制 Webhook 可以拒绝或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值