自动生成webhook组件证书

已于 2023-01-18 20:17:54 修改
阅读量1.5k 收藏 2
点赞数
分类专栏: k8s go client-go 文章标签: golang k8s 组件
于 2023-01-18 20:17:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013694670/article/details/128649796
版权
k8s 同时被 3 个专栏收录
11 篇文章 2 订阅
订阅专栏
go
7 篇文章 0 订阅
订阅专栏
client-go
5 篇文章 1 订阅
订阅专栏

一、碰到的问题

在开发监控operator的时候,由于项目中有webhook功能,因此在部署的时候需要生成访问webhook所需的证书,一般证书生成有以下两种方式:
1.shell脚本实现
2.cert-manager管理

由于项目需要通过应用市场直接部署至集群中,因此以上两种方式在这个方案中都不是最优的解。

shell脚本无法集成到应用市场中,cert-manager不能保证用户集群一定会安装,如果集成到helm中会显的很笨重。在参考了一些开源项目后,决定webhook证书最好能集成到组件中自动生成,并通过项目启动参数开关来交给用户控制。

二、功能实现

生成证书:

//创建根证书
func (w *WebhookTls) createCACert() (*KeyPairArtifacts, error) {
	begin := time.Now().Add(-1 * time.Hour)
	end := begin.Add(certValidityDuration)

	templ := &x509.Certificate{
		SerialNumber: big.NewInt(0),
		Subject: pkix.Name{
			CommonName:   CAName,
			Organization: []string{CAOrganization},
		},
		DNSNames: []string{
			CAName,
		},
		NotBefore:             begin,
		NotAfter:              end,
		KeyUsage:              x509.KeyUsageDigitalSignature | x509.KeyUsageKeyEncipherment | x509.KeyUsageCertSign,
		BasicConstraintsValid: true,
		IsCA:                  true,
	}
	//生成根证书私钥
	key, err := rsa.GenerateKey(rand.Reader, 2048)
	if err != nil {
		return nil, errors.Wrap(err, "generating key")
	}
	//生成根证书
	der, err := x509.CreateCertificate(rand.Reader, templ, templ, key.Public(), key)
	if err != nil {
		return nil, errors.Wrap(err, "creating certificate")
	}
	//certPEM, keyPEM, err := pemEncode(der, key)
	//if err != nil {
	//	return nil, errors.Wrap(err, "encoding PEM")
	//}
	cert, err := x509.ParseCertificate(der)
	if err != nil {
		return nil, errors.Wrap(err, "parsing certificate")
	}

	return &KeyPairArtifacts{Cert: cert, Key: key}, nil
}

//创建服务器证书
func (w *WebhookTls) createCertPEM() (*KeyPairArtifacts, error) {
	ca, err := w.createCACert()
	if err != nil {
		return nil, err
	}
	begin := time.Now().Add(-1 * time.Hour)
	end := begin.Add(certValidityDuration)
	DNSName := fmt.Sprintf("%s.%s.svc", serviceName, w.Namespace)

	templ := &x509.Certificate{
		SerialNumber: big.NewInt(1),
		Subject: pkix.Name{
			CommonName: DNSName,
		},
		DNSNames: []string{
			DNSName,
		},
		NotBefore:             begin,
		NotAfter:              end,
		KeyUsage:              x509.KeyUsageDigitalSignature | x509.KeyUsageKeyEncipherment,
		ExtKeyUsage:           []x509.ExtKeyUsage{x509.ExtKeyUsageServerAuth},
		BasicConstraintsValid: true,
	}
	//创建webhook服务器私钥
	key, err := rsa.GenerateKey(rand.Reader, 2048)
	if err != nil {
		return nil, errors.Wrap(err, "generating key")
	}
	//创建webhook服务器证书
	der, err := x509.CreateCertificate(rand.Reader, templ, ca.Cert, key.Public(), ca.Key)
	if err != nil {
		return nil, errors.Wrap(err, "creating certificate")
	}
	certPEM, keyPEM, err := pemEncode(der, key)
	if err != nil {
		return nil, errors.Wrap(err, "encoding PEM")
	}
	return &KeyPairArtifacts{CertPEM: certPEM, KeyPEM: keyPEM}, nil
}

func pemEncode(certificateDER []byte, key *rsa.PrivateKey) ([]byte, []byte, error) {
	certBuf := &bytes.Buffer{}
	if err := pem.Encode(certBuf, &pem.Block{Type: "CERTIFICATE", Bytes: certificateDER}); err != nil {
		return nil, nil, errors.Wrap(err, "encoding cert")
	}
	keyBuf := &bytes.Buffer{}
	if err := pem.Encode(keyBuf, &pem.Block{Type: "RSA PRIVATE KEY",
		Bytes: x509.MarshalPKCS1PrivateKey(key)}); err != nil {
		return nil, nil, errors.Wrap(err, "encoding key")
	}
	return certBuf.Bytes(), keyBuf.Bytes(), nil
}

创建服务器所需证书:

//创建webhook服务tls证书
func (w *WebhookTls) createTls(cert []byte, key []byte) error {
	certDir := w.CertDir
	if _, err := os.Stat(certDir); os.IsNotExist(err) {
		if err := os.MkdirAll(certDir, 0700); err != nil {
			return err
		}
	}

	if err := ioutil.WriteFile(path.Join(certDir, certName), cert, 0600); err != nil {
		return err
	}
	if err := ioutil.WriteFile(path.Join(certDir, keyName), key, 0600); err != nil {
		return err
	}

	return nil
}

更新caBundle字段:

//更新webhookconfig caBundle字段
func (w *WebhookTls) updateCaBundle(cert []byte) error {
	MutatingWebhook, err := w.ClientSet.AdmissionregistrationV1().MutatingWebhookConfigurations().
		Get(context.Background(), webhookName, metav1.GetOptions{})
	if err != nil {
		return err
	}

	for i := range MutatingWebhook.Webhooks {
		MutatingWebhook.Webhooks[i].ClientConfig.CABundle = cert
	}

	_, err = w.ClientSet.AdmissionregistrationV1().MutatingWebhookConfigurations().
		Update(context.Background(), MutatingWebhook, metav1.UpdateOptions{})

	if err != nil {
		return err
	}

	return nil
}

启动webhook服务器:

//ca
webhookTls := pkg.NewWebHookTls(namespace, clientSet, certDir)
err = webhookTls.RunWebHookTls()
if err != nil {
	setupLog.Error(err, "unable to init webhookTls")
	os.Exit(1)
}

//server
mgr, err := ctrl.NewManager(ctrl.GetConfigOrDie(), ctrl.Options{
	Scheme:                 scheme,
	MetricsBindAddress:     metricsAddr,
	Port:                   9443,
	LeaderElection:         enableLeaderElection,
	HealthProbeBindAddress: probeAddr,
	LeaderElectionID:       "3f08ca71.tmc-gitlab.bebc.com",
})
if err != nil {
	setupLog.Error(err, "unable to start manager")
	os.Exit(1)
}

if err = mgr.AddHealthzCheck("healthz", healthz.Ping); err != nil {
	setupLog.Error(err, "unable to set up health check")
	os.Exit(1)
}
if err = mgr.AddReadyzCheck("readyz", healthz.Ping); err != nil {
	setupLog.Error(err, "unable to set up ready check")
	os.Exit(1)
}

mgr.GetWebhookServer().CertDir = certDir
mgr.GetWebhookServer().Register("/mutate", &webhook.Admission{Handler: &pkg.PodLabels{Client: mgr.GetClient(),
	Log: setupLog.WithName("webhook")}})

setupLog.Info("starting manager")

if err = mgr.Start(ctrl.SetupSignalHandler()); err != nil {
	setupLog.Error(err, "problem running manager")
	os.Exit(1)
}

三、验证

kubectl apply -f example.yaml

查看服务日志:

[root@kind-master ~]# kubectl -n monitoring logs monitoring-operator-857dbdd495-8ks92 
2023-01-14T05:09:45Z	INFO	controller-runtime.metrics	Metrics server is starting to listen	{"addr": ":8080"}
2023-01-14T05:09:45Z	INFO	controller-runtime.webhook	Registering webhook	{"path": "/mutate"}
2023-01-14T05:09:45Z	INFO	monitoring-controller	starting manager
2023-01-14T05:09:45Z	INFO	controller-runtime.webhook.webhooks	Starting webhook server
2023-01-14T05:09:45Z	INFO	Starting server	{"path": "/metrics", "kind": "metrics", "addr": "[::]:8080"}
2023-01-14T05:09:45Z	INFO	controller-runtime.certwatcher	Updated current TLS certificate
2023-01-14T05:09:45Z	INFO	Starting server	{"kind": "health probe", "addr": "[::]:8081"}
2023-01-14T05:09:45Z	INFO	controller-runtime.certwatcher	Starting certificate watcher
2023-01-14T05:09:45Z	INFO	controller-runtime.webhook	Serving webhook server	{"host": "", "port": 9443}
2023-01-14T05:10:05Z	DEBUG	controller-runtime.webhook.webhooks	received request	{"webhook": "/mutate", "UID": "f769223f-c891-4cb8-83de-cffc27531732", "kind": "/v1, Kind=Pod", "resource": {"group":"","version":"v1","resource":"pods"}}
2023-01-14T05:10:05Z	INFO	monitoring-controller.webhook	inject annotations	{"pod name": ""}
2023-01-14T05:10:05Z	DEBUG	controller-runtime.webhook.webhooks	wrote response	{"webhook": "/mutate", "code": 200, "reason": "", "UID": "f769223f-c891-4cb8-83de-cffc27531732", "allowed": true}

查看pod annotation:

[root@kind-master ~]# kubectl get pods webhook-example-d6898c896-8ng46 -o yaml
apiVersion: v1
kind: Pod
metadata:
  annotations:
    cni.projectcalico.org/containerID: 4cb2a9f5810471cf4873a0f5d9c863f9196f04763227c9af308a6a89b3670a70
    cni.projectcalico.org/podIP: 172.21.68.159/32
    cni.projectcalico.org/podIPs: 172.21.68.159/32
    //注入的annotation
    prometheus.io/port: "8080"
  creationTimestamp: "2023-01-14T05:10:06Z"
  generateName: webhook-example-d6898c896-
  labels:

验证成功。

四、总结

通过在组件中自动生成自签名证书,解决webhook部署时所需的证书问题。之后在参考开源项目时,发现有自签名证书生成镜像k8s.gcr.io/ingress-nginx/kube-webhook-certgen,现成的轮子,可以集成到helm的hook中,这样项目中的代码只需要根据配置中的secret生成服务器证书就行。

完整项目路径:https://github.com/bebc/webhook-tls

五、参考

1.https://cuisongliu.github.io/2020/07/kubernetes/admission-webhook/

bebc
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
imageswap-webhookKubernetes的图像交换突变录取Webhook
02-12
用于Kubernetes的ImageSwap突变入场控制器 该将使用用户指定的图像前缀交换Pod中的现有图像定义。 这使您可以将相同的清单用于无法访问常用映像注册表(dockerhub,码头,gcr等)的空白环境。 Webhook使用Flask框架以Python编写。 例 现有图像定义: docker.io/nginx/nginx:latest 掉期后的图片: my-registry.example.com/nginx/nginx:latest 总览 先决条件 Kubernetes 1.9.0或更高版本,并且启用了registrationregistration.k8s.io/v1beta1(或更高版本)API。 通过以下命令进行验证: $ kubectl api-versions | grep admissionregistration.k8s.io/v1beta1 结果应为
推荐项目:kube-webhook-certgen——简化Kubernetes Webhook证书管理的神器
最新发布
gitblog_00016的博客
06-16 908
推荐项目:kube-webhook-certgen——简化Kubernetes Webhook证书管理的神器 项目地址:https://gitcode.com/jet/kube-webhook-certgen 在现代云原生应用的部署和管理中,Kubernetes已成为不可或缺的核心平台。而其中,Admission Webhooks是实现细粒度资源控制与验证的强大工具。然而,证书管理和配置常常是开发...
docker安装 镜像检索、本地下载上传、重命名
a11274的博客
03-17 539
【代码】docker安装 镜像检索、本地下载上传、重命名。
招商银行 KubeVela 离线部署实践
阿里巴巴中间件
04-06 1049
招商银行云平台开发团队自 2021 年开始接触 KubeVela,并探索 KubeVela 在招商银行云平台的落地实践,借此提升云原生应用交付与管理能力。同时因为金融保险行业的特殊性,网络安全管控措施相对严格,行内网络无法直接拉取 Docker Hub 镜像,同时行内暂时没有可用的 Helm 镜像源。因此,要想实现 KubeVela 在行内私有环境的落地,必须进行完全的离线部署。 本文将以 KubeVela v1.2.5 版本为例,介绍招商银行 KubeVela 的离线部署实践,来帮助其他用户在离线环境中更
kubernetes集群中安装ingress-nginx-controller
csdnklsdm的博客
06-19 1251
k8s集群中安装ingress-nginx-controller
云原生|kubernetes|ingress-nginx插件部署(kubernetes-1.23和最新版controller-1.6.4)
zsk_john的技术分享专用博客
02-24 2447
ingress是kubernetes内的一个重要功能插件,这个使得服务治理成为一个可能,当然,结合微服务更为妥当了。 不管是什么插件,还是服务,第一步当然是要能顺利的部署到系统当中,这样,才会有后续的使用可能,否则一切无从谈起,对吧。 而kubernetes的版本众多,因此,它的插件版本也是非常多得,而本文将就kubernetes-1.23集群内部署ingress-nginx做一个详细的描述,并指出它(ingress-nginx)和旧版本的不同
revo-webhook:与revo容器兼容的简单webhook组件
05-20
【revo-webhook:与revo容器兼容的简单webhook组件】 `revo-webhook`是一个专门为`revo`容器设计的轻量级webhook组件,它允许开发者通过JavaScript实现 webhook 功能,以便在应用程序之间建立实时通信和事件驱动的...
webhook.php
07-06
适用于PHP大中型项目分布式自动化部署,防冲突,防误删。实际项目在用脚本。 适用于PHP大中型项目分布式自动化部署,防冲突,防误删。实际项目在用脚本。
cert-manager-webhook-ovh:OVH Webhook证书管理器
05-09
OVH Webhook证书管理器这是的webhook解决器。先决条件版本0.11.0或更高版本(使用0.12.0进行测试):安装选择一个唯一的组名来标识您的公司或组织(例如acme.mycompany.example )。 helm install ./deploy/cert-...
通过 Rancher webhook 实现服务自动升级
11-12
这期我们再来讲一下通过Rancher webhook对接三方的CI系统,如何实现微服务服务镜像的自动构建与升级。 PS: CI即持续集成,包括但不限于自动编译、发布和测试、自动构建,我们这里说的CI系统仅限于自动构建这一步。 ...
GO 使用Webhook 实现github 自动化部署的方法
09-16
主要介绍了GO 使用Webhook 实现github 自动化部署的方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
K8S 安装 Ingress Controller
李大能
02-27 1614
以 NGINX 开源技术为基础(kubernetes.io),可在GitHub的代码库中找到,由 Kubernetes 社区维护,并且 F5 NGINX 承诺帮助管理该项目。
k8s || ingress
qq_60271706的博客
04-09 350
获取ingress controller对应的service暴露宿主机的端口,访问宿主机和相关端口,就可以验证ingress controller是否能进行负载均衡。使用ingress controller暴露服务,感觉不需要使用30000以上的端口访问,可以直接访问80或者443。第4步:查看ingress controller 里的nginx.conf 文件里是否有ingress对应的规则。因为我们是基于域名做的负载均衡的配置,所有必须要在浏览器里使用域名去访问,不能使用ip地址。
k8s 裸机安装 nginx1.19 ingrass
技术博客
11-05 1047
k8s 裸机安装 nginx1.19 ingrass deploy.yaml文件如下: apiVersion: v1 kind: Namespace metadata: name: ingress-nginx labels: app.kubernetes.io/name: ingress-nginx app.kubernetes.io/instance: ingress-nginx --- # Source: ingress-nginx/templates/controller-
Kubernetes(4)
weixin_45931409的博客
11-25 178
** 资源清单 ** 格式如下: apiVersion: group/version  //指明api资源属于哪个群组和版本,同一个组可以有多个版本 $ kubectl api-versions //查询命令 kind: //标记创建的资源类型,k8s主要支持以下资源类别 Pod,ReplicaSet,Deployment,StatefulSet,DaemonSet,Job,Cronjob metadata: //元数据 name: //对像名称 namespace: //对象属于哪个命名空间 lab
K8s暴露服务-服务发现(三种常用方式)
J.Anson的博客
06-09 3417
k8s三种暴露服务(服务发现)的方式:1、Deployment+LoadBalancer模式的Service;2、Deployment+NodePort模式的Service;3、DaemonSet+HostNetwork+nodeSelector
深入理解 Kubernetes Ingress:路由流量、负载均衡和安全性配置
咕噜咕噜wy的博客
01-16 1034
Kubernetes 中,Ingress 是一种 API 资源,用于定义外部流量如何进入集群内部。它允许我们基于主机名、路径和其他条件,将流量导向不同的后端服务。简而言之,Ingress 是一个灵活的流量管理工具,使得在集群中运行的多个服务可以共享同一 IP 地址和端口。
Rancher2.6.2证书更新--有坑需要注意
忘记旧账号的运维~
04-07 853
rancher server的证书有效期是一年,在一年后,rancher server会报证书过期。通过下面的方式你可以创建新的证书。坑写在前面吧,Rancher2.6.2或一下版本的证书不会自动轮换,官网有rke轮换的方法,切记要看清楚版本再操作~~Rancher v2.6.3 及更高版本中,rancher-webhook deployments 则会在到期前。本方法使用于单节点部署的rancher及rke部署的rancher,通用方法。版本创建的证书将在一年后过期。证书不会自动更新,需要手动更新。
webhook怎么生成
09-15
生成 webhook 取决于你使用的开发平台和工具。下面是一个通用的步骤: 1. 首先,确定你要将 webhook 集成到的平台或应用程序。例如,你可能想在一个网站或移动应用程序中使用 webhook。 2. 在你的开发平台或应用程序中,查找 webhook 集成的相关文档和指南。这些文档通常会提供你所需的信息和步骤。 3. 创建一个服务器端点来接收 webhook 请求。这可以是一个服务器端脚本或 API 端点。你可以使用任何编程语言或框架来实现服务器端点。 4. 在你的服务器端点中,处理 webhook 请求。根据文档提供的指导,解析和处理从 webhook 发送过来的数据。 5. 根据你的需求,对 webhook 数据进行适当的操作。可能需要将数据存储到数据库中、发送通知、触发其他操作等。 6. 在 webhook 集成的配置页面中,提供你的服务器端点的 URL。这样,当相关事件触发时,webhook 就会向该 URL 发送请求。 7. 测试你的 webhook 集成,确保它能够正常工作。 请注意,具体步骤可能因平台、工具和需求而有所不同。因此,在实施 webhook 之前,最好仔细阅读相关文档和指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值