Kubernetes Admission Controller 简介 - 注入 sidacar 示例

最新推荐文章于 2024-09-08 00:22:56 发布
最新推荐文章于 2024-09-08 00:22:56 发布
阅读量66 收藏
点赞数
分类专栏: Kubernetes 云原生 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39489487/article/details/135542621
版权

Admission Controller

Kubernetes Admission Controller(准入控制器)是什么?

如下图所示:

c191eb7709de44c2a2a4e35b66e11992.png
Admission Controller Phases

当我们向 k8s api-server 提交了请求之后,需要经过认证鉴权、mutation admission、validation 校验等一系列过程,最后才会将资源对象持久化到 etcd 中(其它组件诸如 controller 或 scheduler 等操作的也是持久化之后的对象)。而所谓的 Kubernetes Admission Controller 其实就是在这个过程中所提供的 webhook 机制,让用户能够在资源对象被持久化之前任意地修改资源对象并进行自定义的校验。

使用 Kubernetes Admission Controller ,你可以:

  • 安全性:强制实施整个命名空间或集群范围内的安全规范。例如,禁止容器以root身份运行或确保容器的根文件系统始终以只读方式挂载;只允许从企业已知的特定注册中心拉取镜像,拒绝未知的镜像源;拒绝不符合安全标准的部署。

  • 治理:强制遵守某些实践,例如具有良好的标签、注释、资源限制或其他设置。一些常见的场景包括:在不同的对象上强制执行标签验证,以确保各种对象使用适当的标签,例如将每个对象分配给团队或项目,或指定应用程序标签的每个部署;自动向对象添加注释。

  • 配置管理:验证集群中对象的配置,并防止任何明显的错误配置影响到您的集群。准入控制器可以用于检测和修复部署了没有语义标签的镜像,例如:自动添加资源限制或验证资源限制;确保向Pod添加合理的标签;确保在生产部署的镜像不使用 latest tag 或带有 -dev 后缀的 tag。

Admission Controller(准入控制器)提供了两种 webhook:

  • Mutation admission webhook:修改资源对象

  • Validation admission webhook:校验资源对象

所谓的 webhook 其实就是你需要部署一个 HTTPS Server ,然后 k8s 会将 admission 的请求发送给你的 server,当然你的 server 需要按照约定格式返回响应。

使用 Kubernetes Admission Controller,你需要:

  • 确保 k8s 的 api-server 开启 admission plugins

  • 准备好 TLS/SSL 证书,用于 HTTPS,可以是自签的。

  • 构建自己的 HTTPS server,实现处理逻辑。

  • 配置 MutatingWebhookConfiguration 或者 ValidatingWebhookConfiguration,你得告诉 k8s 怎么跟你的 server 通信。

注入 sidacar 示例

接下来,我们来实现一个最简单的为 pod 注入 sidacar 的示例。

1. 确保 k8s 的 api-server 开启 admission plugins

首先需要确认你的 k8s 集群支持 admission controller 。

执行 kubectl api-resources | grep admission

mutatingwebhookconfigurations       admissionregistration.k8s.io/v1     false   MutatingWebhookConfiguration
validatingwebhookconfigurations     admissionregistration.k8s.io/v1     false   ValidatingWebhookConfiguration

得到以上结果就说明你的 k8s 集群支持 admission controller。

然后需要确认 api-server 开启 admission plugins,根据你的 api-server 的启动方式,确认如下参数:

--enable-admission-plugins=MutatingAdmissionWebhook,ValidatingAdmissionWebhook

plugins 可以有多个,用逗号分隔,本示例其实只需要 MutatingAdmissionWebhook,至于其它的 plugins 用途请参考官方文档。

2. 准备 TLS/SSL 证书

这里我们使用自签的证书,先创建一个证书目录,比如 ~/certs,以下操作都在这个目录下进行。

  1. 创建我们自己的 root CA

    openssl genrsa -des3 -out rootCA.key 4096
    openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt

  2. 创建证书

    openssl genrsa -out mylocal.com.key 2048
    openssl req -new -key mylocal.com.key -out mylocal.com.csr

  3. 使用我们自己的 root CA 去签我们的证书 注意:由于我们会把 HTTPS server 部署在本地进行测试,所以我们在签名的时候要额外指定自己的内网IP。

    echo subjectAltName = IP:192.168.100.22 > extfile.cnf

openssl x509 -req -in mylocal.com.csr \
    -CA rootCA.crt -CAkey rootCA.key \
    -CAcreateserial -out mylocal.com.crt \
    -days 500 -extfile extfile.cnf

执行完后你会得到以下文件:

  • rootCA.key:根 CA 私钥

  • rootCA.crt:根 CA 证书(后面 k8s 需要用到)

  • rootCA.srl:追踪发放的证书

  • mylocal.com.key:自签域名的私钥(HTTPS server 需要用到)

  • mylocal.com.csr:自签域名的证书签名请求文件

  • mylocal.com.crt:自签域名的证书(HTTPS server 需要用到)

3. 构建自己的 HTTPS Server

Webhook 的请求和响应都要是 JSON 格式的 AdmissionReview 对象。

注意:AdmissionReview v1 版本和 v1beta1 版本有区别,我们这里使用 v1 版本。

// AdmissionReview describes an admission review request/response.
type AdmissionReview struct {
 metav1.TypeMeta `json:",inline"`
 // Request describes the attributes for the admission request.
 // +optional
 Request *AdmissionRequest `json:"request,omitempty" protobuf:"bytes,1,opt,name=request"`
 // Response describes the attributes for the admission response.
 // +optional
 Response *AdmissionResponse `json:"response,omitempty" protobuf:"bytes,2,opt,name=response"`
}

我们需要处理的逻辑其实就是解析 AdmissionRequest,然后构造 AdmissionResponse 最后返回响应。

// AdmissionResponse describes an admission response.
type AdmissionResponse struct {
 // UID is an identifier for the individual request/response.
 // This must be copied over from the corresponding AdmissionRequest.
 UID types.UID `json:"uid" protobuf:"bytes,1,opt,name=uid"`

 // Allowed indicates whether or not the admission request was permitted.
 Allowed bool `json:"allowed" protobuf:"varint,2,opt,name=allowed"`

 // The patch body. Currently we only support "JSONPatch" which implements RFC 6902.
 // +optional
 Patch []byte `json:"patch,omitempty" protobuf:"bytes,4,opt,name=patch"`

 // The type of Patch. Currently we only allow "JSONPatch".
 // +optional
 PatchType *PatchType `json:"patchType,omitempty" protobuf:"bytes,5,opt,name=patchType"`

    // ...
}

AdmissionResponse 中的 PatchType 字段必须是 JSONPatchPatch 字段必须是 rfc6902 JSON Patch 格式。

我们使用 go 编写一个最简单的 HTTPS Server 示例如下,该示例会修改 pod 的 spec.containers 数组,向其中追加一个 sidecar 容器:

package main

import (
 "encoding/json"
 "log"
 "net/http"

 v1 "k8s.io/api/admission/v1"
 corev1 "k8s.io/api/core/v1"
)

// patchOperation is an operation of a JSON patch, see https://tools.ietf.org/html/rfc6902 .
type patchOperation struct {
 Op    string      `json:"op"`
 Path  string      `json:"path"`
 Value interface{} `json:"value,omitempty"`
}

var (
 certFile = "/Users/wy/certs/mylocal.com.crt"
 keyFile  = "/Users/wy/certs/mylocal.com.key"
)

func main() {
 http.HandleFunc("/", func(w http.ResponseWriter, req *http.Request) {
  defer req.Body.Close()
  var admissionReview v1.AdmissionReview
  err := json.NewDecoder(req.Body).Decode(&admissionReview)
  if err != nil {
   log.Fatal(err)
  }

  var patches []patchOperation
  patches = append(patches, patchOperation{
   Op:   "add",
   Path: "/spec/containers/-",
   Value: &corev1.Container{
    Image: "busybox",
    Name:  "sidecar",
   },
  })
  patchBytes, err := json.Marshal(patches)
  if err != nil {
   log.Fatal(err)
  }

  var PatchTypeJSONPatch v1.PatchType = "JSONPatch"
  admissionReview.Response = &v1.AdmissionResponse{
   UID:       admissionReview.Request.UID,
   Allowed:   true,
   Patch:     patchBytes,
   PatchType: &PatchTypeJSONPatch,
  }
  // Return the AdmissionReview with a response as JSON.
  bytes, err := json.Marshal(&admissionReview)
  if err != nil {
   log.Fatal(err)
  }
  w.Write(bytes)
 })

 log.Printf("About to listen on 8443. Go to https://127.0.0.1:8443/")
 err := http.ListenAndServeTLS(":8443", certFile, keyFile, nil)
 log.Fatal(err)
}

4. 配置 MutatingWebhookConfiguration

我们需要告诉 k8s 往哪里发送请求以及其它信息,这就需要配置 MutatingWebhookConfiguration

apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: test-sidecar-injector
webhooks:
  - name: sidecar-injector.mytest.io
    admissionReviewVersions:
      - v1  # 版本一定要与 HTTPS Server 处理的版本一致
    sideEffects: "NoneOnDryRun"
    reinvocationPolicy: "Never"
    timeoutSeconds: 30
    objectSelector: # 选择特定资源触发 webhook
      matchExpressions:
        - key: run
          operator: In
          values:
            - "nginx"
    rules:  # 触发规则
      - apiGroups:
          - ""
        apiVersions:
          - v1
        operations:
          - CREATE
        resources:
          - pods
        scope: "*"
    clientConfig:
      caBundle: ${CA_PEM_B64}
      url: https://192.168.100.22:8443/   # 指向我本地的IP地址
      # service:  # 如果把 server 部署到集群内部则可以通过 service 引用

其中的 ${CA_PEM_B64} 需要填入第一步的 rootCA.crt 文件的 base64 编码,我们可以执行以下命令得到:

openssl base64 -A -in rootCA.crt

在上例中,我们还配置了 webhook 触发的资源要求和规则,比如这里的规则是创建 pods 并且 pod 的 labels 标签必须满足 matchExpressions

最后测试,我们可以执行 kubectl run nginx --image=nginx,成功之后再查看提交的 pod ,你会发现 containers 中包含有我们注入的 sidecar 。

结语

通过本文相信你已经了解了 Admission Controller 的基本使用过程,诸多开源框架,比如 Istio 等也广泛地使用了 Admission Controller。

凌虚NPG
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes安全机制--Admission Control准入控制
江晓龙的博客
04-20 717
kubernetes安全机制–Admission Control准入控制 通过了认证和授权之后,还需要经过准入控制处理之后,apiserver才会处理请求。 准入控制是一个可配置的控制器列表,可以通过在apiserver上使用命令行设置执行哪些准入控制器 用于拦截请求的一种方式,运行在认证,授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验 --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,Persiste
kubernetes负载均衡资源-Ingress
weixin_42816196的博客
03-27 999
Ingress其实就是Kubernetes中的一种资源,它主要是用来定义流量转发规则。但Ingress资源自身并不能实现流量的转发和调度,它仅仅是一组流量路由的规则集合,这些规则要真正发挥作用还需要使用到Ingress控制器,由Ingress控制器读取对应的Ingress规则,然后完成流量的路由或转发。Ingress的底层知识是通过Nginx进行封装。配置规则也是跟Nginx类似Ingress日定义Nginx配置annotations:局部: Server {} 认证;限速;等等。
带你玩转kubernetes-k8s(第40篇:深入分析集群安全机制三[Admission Control, Service Account])
坚持的道路注定孤独
08-13 738
Adminssion Control 突破了之前所说的认证和鉴权两道关卡之后,客户端的调用请求就能够得到API Server的真正响应了吗?答案是:不能!这个请求还需要通过Admission Control(准入控制)所控制的一个准入控制链的层层考验,才能获得成功的响应。Kubernetes官方标准的“关卡”有30多个,还允许用户自定义扩展。 Admission C...
k8s: admission demo(准入控制)
conglanjun的博客
04-22 847
k8s admission demo,准入控制用例。
关于 KubernetesAdmission Controllers(准入控制器) 认知的一些笔记
山河已无恙
12-02 266
人活着就是为了忍受摧残,一直到死,想明了这一点,一切事情都能泰然处之 —— 王小波《黄金时代》准入控制器 可以简单理解为 。或者 中的 ,编程中的,AOP 切面,顾名思义, 准入控制器用于在 k8s 中资源创建的时候做一些校验机制,判断创建的 API 资源是否可行。同时也可以对传递到准入控制器的 操作对象资源请求进行更改,在加工,或者完全拒绝。通过 准入控制器,可以灵活的处理对API 资源的准入进行限制,除了提供的内置准入控制器,K8s 还提供了 的方式,即可以通过编码的方式编写自己的的埋点逻辑。准入控
K8s安全管理:认证、授权、准入控制
weixin_49888547的博客
06-07 4147
k8s 对我们整个系统的认证,授权,访问控制做了精密的设置;对于 k8s 集群来说,apiserver 是整个集群访问控制的唯一入口,我们在 k8s 集群之上部署应用程序的时候,也可以通过宿主机的NodePort 暴露的端口访问里面的程序,用户访问 kubernetes 集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)1.认证(Authenticating)是对客户端的认证,通俗点就是用户名密码验证2.授权(Authorization)是对资源的授权,k8s 中
Kubernetes 准入控制 Admission Controller 介绍
CuiXiaoY的博客
09-21 509
1.什么是Admission Controller Admission Controller(准入控制)是 Kubernetes API Server 用于拦截请求的一种手段。 Admission可以做到对请求的资源对象进行校验,修改。 service mesh最近很火的项目Istio天生支持Kubernetes,利用的就是admission对服务实例自动注入sidecar。 假如对 Kubernetes 有一定的了解的话,应该会知道在 Kubernetes 中还有 authn/authz,为什么还会引入
(9)二进制文件方式部署Kubernetes高可用集群----------部署master节点
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
07-06 1618
部署master节点 控制节点充当整个调度和管理的角色,k8s的Master节点包含以下组件: ※etcd:集群主数据库 ※kube-apiserver:统一的资源操作入口 ※kube-controller-manager:运行在节点上的管理控制组件 ※kube-scheduler:资源调度器根据特定的调度算法把pod生成到指定的计算节点中 上述组件均部署在192.168.0.143机...
kubernetes集群监控 Kube-Prometheus-Stack
叶青
05-08 2328
该项目开箱即用的功能,对k8s的监控指标是比较全面的,对于k8s的主要组件的运行状态如Node、Kubelet、Pod、Deployment、StatefulSet、CoreDNS、PV等资源进行了指标采集和监控,项目采用的是prometheus,并且有许多CRD资源,可以很方便通过编写yaml配置文件,来进行监控能力的扩充和告警阈值的设置。
kubernetes-server-linux-amd64.tar.gz
11-29
- **下载并解压**:下载“kubernetes-server-linux-amd64.tar.gz”,解压后得到所需组件,如kube-apiserver、kube-controller-manager等。 - **配置组件**:根据集群规模和需求,配置相关组件的配置文件,如kube...
kubernetes Admission Controller 原理介绍
weixin_33737134的博客
05-24 449
Admission Controller介绍 Apiserver干的最重要的三个事就是: 认证 : 看是否是合法用户 授权 : 看用户具备哪些权限 admission controller : 一个调用链,对请求进行控制或修改,比如是否允许这个请求。 admission controller非常有用,也是经常会用到的k8s的一个扩展方式,今天在源码级别对其做一下介绍,以及如何自己去开发一个ad...
kubernetes安全机制--Admission Control 准入控制
热门推荐
程序源234的专栏
07-29 1万+
引言当请求通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。Admission Control 有一个准入控制列表,我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。
k8s技术预研10--深入分析kubernetes集群安全机制
watermelonbig的专栏
04-24 2391
Kubernetes过一系列机制来实现集群的安全机制,包括API Server的认证授权、准入控制机制及保护敏感信息的Secret机制等。集群的安全性必须考虑以下的几个目标:(1)保证容器与其所在宿主机的隔离;(2)限制容器给基础设施及其他容器带来消极影响的能力;(3)最小权限原则,合理限制所有组件的权限,确保组件只执行它被授权的行为,通过限制单个组件的能力来限制他所能到达的权限范围;(4)明确组...
kubernetes中的Admission Controllers
weixin_33752045的博客
06-19 179
这是啥 准入控制admission controller本质上一段代码,在对kubernetes api的请求过程中,顺序为 先经过 认证 & 授权,执行准入操作,在对目标对象进行操作。这个准入代码在apiserver中,而且必须被编译到二进制文件中才能被执行。 在对集群进行请求时,每个准入控制代码都按照一定顺序执行。如果有一...
K8s安全总结
liukuan73的专栏
12-05 8880
1. 预备知识1.1 kubernetes api相关知识Kubernetes API是集群系统中的重要组成部分,Kubernetes中各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)中,Kubernetes集群中的各部件之间通过该API接口实现解耦合,同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kub
k8s 中Authentication Authorization Admission control含义
conli的博客
10-24 204
k8s Authentication Authorization Admission control 含义与区别
k8s Helm
最新发布
巧克力人生的博客
09-08 819
了解HelmHelm是kubernetes中查找、分享、构建应用的最佳方式。Helm是一个Kubernetes应用的包管理工具,用来管理chart(一种预先配置好的安装包资源),有点类似于Ubuntu 的APT和CentOS/Rocky中的YUM。因此,helm的出现解决了k8s应用管理能力缺失的问题。另外Helm也是dev和ops的桥梁,运维人员在使用Helm的时候,一方面不需要理解大量在Chart中的各种k8s元素,只需要配置少量的环境变量即可安装;
k8s控制器
qq_67442238的博客
09-05 941
已经搭好的harbor仓库scp ca.crt root@172.25.250.120:/etc/docker/certs.d/bwmis.org/ ##发送证书##禁止swap磁盘的使用[k8s]name=k8sgpgcheck=0。
Kubernetes metrics-server部署指南
00:00:18 kube-apiserver --advertise-address=192.168.221.128 --allow-privileged=true --authorization-mode=Node,RBAC --client-ca-file=/etc/kubernetes/pki/ca.crt --enable-admission-plugins=...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值