快速写一个kubernetes webhook+使用cert-manager实现自动更新证书

最新推荐文章于 2024-09-12 07:59:34 发布
最新推荐文章于 2024-09-12 07:59:34 发布
阅读量1.2k 收藏 21
点赞数 30
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43268878/article/details/139993197
版权

准入控制器

用途:

拦截apiserver请求,对请求进行验证或者修改,比如说添加标签,效验自定义资源字段是否准确或许增加默认值,超卖设置,增加sidecar容器等等

分类:

  • 内置准入器,默认开启的noderestriction准入器,主要是限制对节点一些标签的修改操作

    内置准入器官网

  • 动态准入器,HTTP回调机制,类似于拦截器

    1. ValidatingAdmissionWebhook准入控制器 主要作用就是对操作做验证性质的准入,并行操作

    2. MutatingAdmissionWebhook准入控制器 主要作用就是对操作做修改性质的准入,串行操作,不具备明确的顺序,需要注意操作对象的范围,防止出现预期之外的修改操作。img

开发:

准入控制器其实就是一个http服务,可以通过下面demo开发一个简单的webhook服务,也可以借助开源的k8swebhook脚手架进行快速开发Demo

import (
	"encoding/json"
	"io"
	admissionv1 "k8s.io/api/admission/v1"
	"k8s.io/apimachinery/pkg/runtime"
	"k8s.io/apimachinery/pkg/runtime/serializer"
	"net/http"
)
func main() {
   h := http.HandlerFunc(func(writer http.ResponseWriter, request *http.Request) {
      defer request.Body.Close()
      all, err := io.ReadAll(request.Body)
      if err != nil {
         return
      }
      //反序列化
      reqReview := admissionv1.AdmissionReview{}
      r := serializer.NewCodecFactory(runtime.NewScheme()).UniversalDeserializer()
      _, _, err = r.Decode(all, nil, &reqReview)
      if err != nil {
         return
      }
      respReview := admissionv1.AdmissionReview{
         TypeMeta: reqReview.TypeMeta,
         Response: &admissionv1.AdmissionResponse{
            // todo .add your logic func result
         },
      }
      respBs, err := json.Marshal(respReview)
      if err != nil {
         return
      }

      writer.Header().Set("Content-Type", "application/json")
      writer.WriteHeader(http.StatusOK)
      _, err =writer.Write(respBs)
      
   })
   mux := http.NewServeMux()
   mux.Handle("POST /webhook", h)

   http.ListenAndServeTLS(":443", "", "", mux)
}
部署:

准入程序可以在部署在集群内部,也可以在多集群环境下使用一个准入程序对多个集群进行回调处理,好处就是只需要部署一次,而不用每个集群都部署,但是需要使用kube-client时,需要接入多个集群的kubeconfig,在集群内部部署则只需要配置rbac了;各有各个优势,多集群情况下也可以考虑多集群管理工具实现每个集群都搭建一个webhook服务

  1. 将准入程序以deployment或者其他工作负载形式部署在集群中

  2. 使用自签证书,因为webhook和apiserver需要双向认证,wenhook一般使用https

    ---
apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: mutating-issuer
  namespace: webhook-system
spec:
  selfSigned: {}

---
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: mutating-cert
  namespace: sophon-system
spec:
  dnsNames:
    - mutating-webhook.webhook-system.svc
    - mutating-webhook.webhook-system.svc.cluster.local
  issuerRef:
    kind: Issuer
    name: mutating-issuer
  secretName: mutating-webhook-cert

  3. 部署准入器声明资源

kind: MutatingWebhookConfiguration # 修改类型的准入器
apiVersion: admissionregistration.k8s.io/v1
metadata:
  name: mutating-webhook
  annotations:
    cert-manager.io/inject-ca-from: webhook-system/mutating-cert # 使用certmanager绑定证书, namespace/secretname
webhooks:
  - name: mutating-webhook-xxxx
    sideEffects: None
    clientConfig:
      # 准入程序访问配置
      service:
        namespace: webhook-system 
        name: mutating-webhook
        path: /mutating/xxxx
        port: 443
       caBundle: "" #上面声明注解后,certmanager会将证书注入
    reinvocationPolicy: Never
    rules: # 只对创建pod生效
      - operations:
          - CREATE
        apiGroups:
          - ''
        apiVersions:
          - v1
        resources:
          - pods
        scope: '*'
    matchPolicy: Equivalent
    namespaceSelector:
      matchLabels:
        xxx: xxx
    admissionReviewVersions:
      - v1
      - v1beta1
    failurePolicy: Ignore
    objectSelector: {}
    timeoutSeconds: 5
Big东瓜
关注
K8S Webhook研究
SHELLCODE_8BIT的博客
04-18 1353
从0到1开发K8S_Webhook最佳实践 - 知乎 (zhihu.com)
Cert-ManagerKubernetes 集群中的证书管理利器
最新发布
TechEnthusiast的博客
10-28 133
Cert-Manager一个开源的云原生证书管理工具,专为 Kubernetes 和 OpenShift 设计。它将 X.509 证书管理转化为声明式的 Kubernetes 资源,使得证书管理变得简单和自动化。
k8s中级篇-cert-manager+Let‘s Encrypt自动证书签发
mldong的博客
05-12 6038
前言 说到免费的SSL证书,大家首先想到的肯定是Let’s Encrypt,而使用过Let’s Encrypt的同学应该也知道,其有效期只有三个月,三个月后要重新续期。github上也有类似的脚本可以做到自动续期。那如果是在k8s上使用该免费证书,又如何操作的呢?这里cert-manager就派上用场了。 环境 主机名 ip 角色 mldong01 192.168.0.245 master mldong02 192.168.0.54 node01 mldong03 192.168.0
探索Kubernetes魔法:K8s Hello Mutating Webhook深度解读与应用
gitblog_01165的博客
09-12 295
探索Kubernetes魔法:K8s Hello Mutating Webhook深度解读与应用 k8s-hello-mutating-webhook A Kubernetes Mutating Admission Webhook example, using Go. ...
webhook证书管理
fayeestone的博客
07-29 2236
简介 在kubernetes中,为了保证安全要求必须使用https协议访问webhook服务器。这里就会涉及到TLS证书问题,介绍TLS证书的资料很多,基本原理就是通过公钥和私钥验证通信双方的合法身份。在使用operator SDk开发中webhook默认使用名字为webhook-server-cert的secret提供TLS证书。详细内容可以查看配置文件config/default/manager_webhook_patch.yaml中下面部分: ... volumes: - name: cert s
kubernetes运维之-cert-manager自动签发Lets Encrypt证书并通过Ingress实现https网站全自动管理
h5rehre的博客
04-12 1849
云原生时代web业务数量多,维护证书繁琐程度高,大多是重复劳动,如何解决复杂的证书管理疑难杂症?
自动生成webhook组件证书
特立独行的毛毛虫的博客
01-18 1631
在开发监控operator的时候,如果项目带有webhook功能,如何部署时自动生成证书
推荐项目:kube-webhook-certgen——简化Kubernetes Webhook证书管理的神器
gitblog_00016的博客
06-16 1093
推荐项目:kube-webhook-certgen——简化Kubernetes Webhook证书管理的神器 去发现同类优质开源项目:https://gitcode.com/ 在现代云原生应用的部署和管理中,Kubernetes已成为不可或缺的核心平台。而其中,Admission Webhooks是实现细粒度资源控制与验证的强大工具。然而,证书管理和配置常常是开发者和运维人员面临的痛点之一。为此,...
bitnami-docker-cert-manager-webhook:Cert Manager Webhook的Bitnami Docker映像
04-22
Cert Manager Webhook使用Webhook服务器提供对证书管理器资源的动态准入控制。 Cert-managerKubernetes的附加组件,用于自动管理和颁发各种发行来源的TLS证书。 它将确保证书有效并定期更新,并在到期前尝试在...
Kubernetes之scert-manager证书控制器(证书自动颁发)
weixin_43357497的博客
12-14 1298
cert-manager证书控制器 cert-manager作为一系列部署资源在Kubernetes集群中运行。它 CustomResourceDefinitions 用于配置证书颁发机构和请求证书。 它使用常规的YAML清单进行部署,就像Kubernetes上的任何其他应用程序一样。 部署证书管理器后,您必须配置Issuer或ClusterIssuer 代表证书颁发机构的资源。有关配置不同Issuer类型的更多信息,请参见各自的配置指南。 注意:从cert-managerv0.14.0开始,Kubern
K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-08 1万+
🔴 K8s(十二):监控与报警(163邮箱+钉钉)-Prometheus + Grafana + Alertmanager(超详细)
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
创建K8s pod Webhook
cn_lyg的博客
08-24 1548
为K8s核心组件Pod创建Webhook
k8s sidecar开发-webhook开发
qq_36980207的博客
03-10 963
1.首先需要申请一个secret,用来在进行webhook的时候apiserver访问我们的webhook服务器的时候进行证书认证。 [ -z ${service} ] && service=logcar-service [ -z ${secret} ] && secret=logcar-secret [ -z ${namespace} ] && namespace=kube-system if [ ! -x "$(command -v openss..
k8s Webhook 使用java springboot实现webhook 学习总结
liuyij3430448的博客
07-27 4420
kubernetes利用webhook可以实现类似Java Web Filter的功能,拦截对资源的操作请求。 将操作**增强**或者**拦截验证** 创建一个Pod,可以对这个操作添加额外的配置,比如添加标签,添加容器,添加挂载等,或者验证Pod操作是不是满足某些要求,不满足则不执行等
K8S自定义webhook实现认证管理
wanger5354的博客
12-08 3290
 作者:乔克 公众号:运维开发故事 知乎:乔克叔叔 博客:https://www.coolops.cn大家好,我是乔克。在Kubernetes中,APIServer是整个集群的中枢神经,它不仅连接了各个模块,更是为整个集群提供了访问控制能力。Kubernetes API的每个请求都要经过多阶段的访问控制才会被接受,包括认证、授权、准入,如下所示。客户端(普通账户、ServiceAccount等)想要访问Kubernetes中的资源,需要通过经过APIServer的三大步骤才能正常访问,三大步骤如下
kubernetes中开发自定义webhook
记录成长,分享收获。
06-24 1129
这篇文章将带着我们从头开始部署自己的webhook。本文适合对kuberneteswebhook有一定认知和了解的读者,帮助读者快速部署自己的webhook,话不多说直接开始。
k8s准入webhook工作流程
zpsimon的博客
11-14 610
kubernetes admission webhook,ImagePolicyWebhook
kuberneteswebhook开发(一篇搭好开发架构)
weixin_40965647的博客
08-02 1166
webhookkuberneteswebhook开发实例 介绍 Webhook就是一种HTTP回调,用于在某种情况下执行某些动作,Webhook不是K8S独有的,很多场景下都可以进行Webhook,比如在提交完代码后调用一个Webhook自动构建docker镜像 K8S中提供了自定义资源类型和自定义控制器来扩展功能,还提供了动态准入控制,其实就是通过Webhook实现准入控制,分为两种:验...
可视化Kubernetes准入Webhook配置工具kubectl-view-webhook
资源摘要信息:"kubectl-view-webhook一个开源项目,其主要目的是为了在Kubernetes环境中可视化准入webhook配置资源的关键部分。准入webhookKubernetes的扩展点之一,允许用户在API服务器接收请求并持久化之前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值