kubernetes 动态webhook的使用

已于 2022-04-18 14:08:20 修改
阅读量2.4k 收藏 6
点赞数 1
分类专栏: kubernetes go 文章标签: golang 开发语言 后端
于 2022-03-06 21:48:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43855694/article/details/123318250
版权

准入控制器概念

k8s apiserver 在处理每一个操作资源对象的请求时,在经过认证(是否为合法用户)/ 鉴权(用户是否拥有权限)后,并不会直接根据端点资源类型和 rest 动作直接执行操作,在这中间,请求会被一系列准入控制器插件(Admission Controller)进行拦截,校验其是否合乎要求,亦或是对特定资源进行配置。

准入机制

  1. 如果所有的 webhooks 批准请求,准入控制链继续流转;
  2. 如果有任意一个 webhooks 阻止请求,那么准入控制请求终止,并返回第一个 webhook 阻止的原因。其中,多个 webhooks 阻止也只会返回第一个 webhook 阻止的原因;
  3. 如果在调用 webhook 过程中发生错误,那么请求会被终止或者忽略 webhook

准入控制器类型

  1. 变更 (Mutating):这种控制器可以解析请求,并在请求向下发送之前对请求进行更改;
  2. 验证 (Validating): 这种控制器可以解析请求并根据特定数据进行验证;
    3.Both:这种控制器可以执行变更和验证两种操作,如默认开启的 LimitRanger 准入控制器在变更阶段使用默认的资源配置来限制容器对资源的使用,并在验证阶段确保容器的资源限制不超过预期的。
    对应的,准入控制分为两个阶段,变更控制器会优先与验证控制器在第一阶段执行,需要注意的是变更控制器会更改请求对象,验证控制器则不行。
    在这里插入图片描述

动态准入控制

除了 k8s 自带的默认控制器,我们还可以以 webhook 的形式去编写自定义的准入控制器,对特定资源的请求进行个性化的修改和验证,典型的场景有通过 mutating 类型 webhook 注入 side-car 到 pod,利用 validating 类型 webhook 实现 crd 资源相关字段的规则验证。

自定义动态准入控制器

这里我们根据官方提供的demo来自定义一个简单的准入控制器,实现以下目标功能:

  1. 验证 pod 名称是否符合规范;
  2. 修改 pod 主容器镜像;
  3. 注入 initContainer 容器。
配置步骤:
1. 通过 cfssl 生成 ca 证书:
root# cat ca-config.json 
{
  "signing": {
    "default": {
      "expiry": "8760h"
    },
    "profiles": {
      "server": {
        "usages": ["signing"],
        "expiry": "8760h"
      }
    }
  }
}
root# cat ca-csr.json 
{
  "CN": "Kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "zh",
      "L": "zj",
      "O": "hz",
      "OU": "CA"
   }
  ]
}

root# cfssl gencert -initca ca-csr.json | cfssljson -bare ca

root# ls
ca-key.pem
ca.csr
ca.pem
server.pem
2. 配置 k8s secret
root# kubectl create secret tls myhook --cert=server.pem --key=server-key.pem  -n kube-system
 
root# kubectl get secret -n kube-system |grep myhook
myhook        kubernetes.io/tls               2      64m
3. 配置一个 MutatingWebhook 类型准入控制器
root# cat admission.yaml
apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: myhook
webhooks:
  - clientConfig:
      caBundle:   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   # caBundle 为ca客户端证书,由 cat ca.pem |base64 解码而来
      service:
        name: myhook
        namespace: kube-system
        path: /pods # webhook url
    failurePolicy: Fail
    sideEffects: NoneOnDryRun
    name: myhook.wholeeprime.com
    objectSelector: #  资源匹配器
      matchLabels:
        app:  "wholeeprime"
    admissionReviewVersions: ["v1", "v1beta1"]
    namespaceSelector: {}
    rules:
      - apiGroups:   [""] # 列出要匹配的 API 组。"" 是核心 API 组。"*" 匹配所有 API 组。   kubectl api-resources查看
        apiVersions: ["v1"] # 列出要匹配的 API 版本。"*" 匹配所有 API 版本。
        operations:  ["CREATE"] # 列出要匹配的操作。 可以是 CREATE、UPDATE、DELETE、CONNECT 或 * 以匹配所有内容。
        resources:   ["pods"] # 列出了一个或多个要匹配的资源。
        scope: "Namespaced"   # 指定要匹配的范围。有效值为 "Cluster"、"Namespaced" 和 "*"。
4. 编写 webhook
// main.go
package main

import (
	"encoding/json"
	"k8s.io/klog/v2"
	"log"
	"myhook/lib"

	"io/ioutil"
	"k8s.io/api/admission/v1"
	metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
	"net/http"
)

func main() {
	http.HandleFunc("/pods", func(w http.ResponseWriter, r *http.Request) {
		log.Println(r.RequestURI)
		var body []byte
		if r.Body != nil {
			if data, err := ioutil.ReadAll(r.Body); err == nil {
				body = data
			}
		}
		//第二步
		reqAdmissionReview := v1.AdmissionReview{} //请求
				rspAdmissionReview := v1.AdmissionReview{ //响应 ---只构建了一部分
			TypeMeta: metav1.TypeMeta{
				Kind:       "AdmissionReview",
				APIVersion: "admission.k8s.io/v1",
			},
		}
		//第三步。 把body decode 成对象
		deserializer := lib.Codecs.UniversalDeserializer()
		if _, _, err := deserializer.Decode(body, nil, &reqAdmissionReview); err != nil {
			klog.Error(err)
			rspAdmissionReview.Response = lib.ToV1AdmissionResponse(err)
		} else {
			rspAdmissionReview.Response = lib.AdmitPods(reqAdmissionReview) //我们的业务
		}
		rspAdmissionReview.Response.UID = reqAdmissionReview.Request.UID
		respBytes,_ := json.Marshal(rspAdmissionReview)

		w.Write(respBytes)
	})
		tlsConfig := lib.Config{
		CertFile: "/etc/webhook/certs/tls.crt",
		KeyFile: "/etc/webhook/certs/tls.key",
	}
	server := &http.Server{
		Addr:      ":443",
		TLSConfig: lib.ConfigTLS(tlsConfig),
	}
	klog.Error(server.ListenAndServeTLS("",""))
}

// lib/pod.go
package lib

import (
	"fmt"
	"k8s.io/api/admission/v1"
	corev1 "k8s.io/api/core/v1"
	metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
	"k8s.io/klog/v2"
)
func pathContainer() []byte{
	str:=`[
   {
		"op" : "replace" ,
		"path" : "/spec/containers/0/image" ,
		"value" : "nginx:1.19-alpine"
	},
   {
        "op": "add",
        "path": "/spec/initContainers",
        "value": [{
           "name": "myinit",
           "image": "busybox:1.28",
           "command": ["sh", "-c", "echo The app is running!"]
          }]
   }
]`
	return []byte(str)
}

func AdmitPods(ar v1.AdmissionReview) *v1.AdmissionResponse {
	podResource := metav1.GroupVersionResource{Group: "", Version: "v1", Resource: "pods"}

	if ar.Request.Resource != podResource {
		err := fmt.Errorf("expect resource to be %s", podResource)
		klog.Error(err)
		return ToV1AdmissionResponse(err)
	}

	raw := ar.Request.Object.Raw
	pod := corev1.Pod{}
	deserializer := Codecs.UniversalDeserializer()
	if _, _, err := deserializer.Decode(raw, nil, &pod); err != nil {
		klog.Error(err)
		return ToV1AdmissionResponse(err)
	}
	reviewResponse := v1.AdmissionResponse{}

	if pod.Name=="dasha"{           // 模拟验证镜像名称是否符合规范
		reviewResponse.Allowed = false
		reviewResponse.Result = &metav1.Status{Code:503,Message: "pod name cannot be dasha"}    
	}else{
		reviewResponse.Allowed = true
		reviewResponse.Patch = pathContainer()
		pt:=v1.PatchTypeJSONPatch // 通过patch补丁方式来实现主容器镜像的修改以及initContainer的注入,补丁策略需要为PatchTypeJSONPatch
		reviewResponse.PatchType=&pt
	}
	return &reviewResponse
}

// lib/scheme.go
var Codecs = serializer.NewCodecFactory(scheme)

func init() {
	addToScheme(scheme)
}

func addToScheme(scheme *runtime.Scheme) {
	utilruntime.Must(corev1.AddToScheme(scheme))
	utilruntime.Must(admissionv1beta1.AddToScheme(scheme))
	utilruntime.Must(admissionregistrationv1beta1.AddToScheme(scheme))
	utilruntime.Must(admissionv1.AddToScheme(scheme))
	utilruntime.Must(admissionregistrationv1.AddToScheme(scheme))
}

// lib/config.go
package lib

import (
	"crypto/tls"
	"k8s.io/klog/v2"
)
// Config contains the server (the webhook) cert and key.
type Config struct {
	CertFile string
	KeyFile  string
}

func ConfigTLS(config Config) *tls.Config {
	sCert, err := tls.LoadX509KeyPair(config.CertFile, config.KeyFile)
	if err != nil {
		klog.Fatal(err)
	}
	return &tls.Config{
		Certificates: []tls.Certificate{sCert},
		// TODO: uses mutual tls after we agree on what cert the apiserver should use.
		// ClientAuth:   tls.RequireAndVerifyClientCert,
	}
}
5. 将 webhook 打包成镜像
root# cat Dockerfile 
FROM  golang:1.16-alpine
MAINTAINER  dasha@test.com

RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositories \
    && apk add --no-cache openssl-dev  tzdata libffi-dev gcc g++ make


ENV TIME_ZONE=Asia/Shanghai
ENV GOPROXY="https://goproxy.cn,direct"

RUN echo "${TIME_ZONE}" > /etc/timezone \
    && ln -sf /usr/share/zoneinfo/${TIME_ZONE} /etc/localtime

VOLUME ["/tmp"]
WORKDIR /go/src/myhook
ADD . .
RUN go build -i -o "myhook" -gcflags "-N -l" main.go

WORKDIR /usr/local/bin/myhook
RUN mv /go/src/myhook/myhook   .

ENTRYPOINT ["/bin/sh", "-c", "./myhook"]

root# docker build -t harbor.test.com/prod/admission:v1 .
root# docker push harbor.test.com/prod/admission:v1 # 推送到镜像仓库
6. 在 k8s 集群中部署 webhook
root# cat webhook.yaml 
apiVersion: apps/v1
kind: Deployment
metadata:
  name: myhook
  namespace: kube-system
spec:
  replicas: 1
  selector:
    matchLabels:
      app: myhook
  template:
    metadata:
      labels:
        app: myhook
    spec:
      containers:
        - name: myhook
          image: harbor.test.com/prod/admission:v1
          imagePullPolicy: IfNotPresent
          volumeMounts:
            - name: hooktls
              mountPath: /etc/webhook/certs
              readOnly: true
          ports:
            - containerPort: 443
      imagePullSecrets:
        - name: harbor-key
      volumes:
        - name: hooktls
          secret:
            secretName: myhook
---
apiVersion: v1
kind: Service
metadata:
  name: myhook
  namespace: kube-system
  labels:
    app: myhook
spec:
  type: ClusterIP
  ports:
    - port: 443
      targetPort: 443
  selector:
    app: myhook      

#部署准入控制器和webhook
root# kubectl apply  -f webhook.yaml
root# kubectl apply  -f admission.yaml

#查看
root# kubectl get  MutatingWebhookConfiguration  |grep myhook
myhook                                  1          33m

root# kubectl get deploy -n kube-system|grep myhook
myhook               1/1     1            1           35m
6. 创建一个 pod 对我们自定义的准入控制器进行测试
# 验证pod名称是否符合规范
root# cat pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: daicheng
  namespace: default
  labels:
    app: wholeeprime
spec:
  containers:
    - name: nginx
      image: nginx:1.18-alpine
      imagePullPolicy: IfNotPresent
      ports:
        - containerPort: 80

root# kubectl apply -f pod.yaml 
Error from server: error when creating "pod.yaml": admission webhook "myhook.test.com" denied the request: pod name cannot be dasha

#验证是否能够修改pod主容器镜像版本和注入初始化容器
 root# cat pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: dasha-test
  namespace: default
  labels:
    app: dasha-test
spec:
  containers:
    - name: nginx
      image: nginx:1.18-alpine
      imagePullPolicy: IfNotPresent
      ports:
        - containerPort: 80
	
root# kubectl apply -f pod.yaml 
pod/dasha-test created

root# kubectl describe pod/dasha-test
...
参考文章以及相关实现代码:

https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/
https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/
https://github.com/kubernetes/kubernetes/tree/588a4569a768306ea91821ff916185d65faa85a8/test/images/agnhost/webhook

旺德福打泰瑞宝
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Kubernetes开发(4)-webhook 实现拦截请求
zyxpaomian的博客
06-01 1857
什么是webhook Kubernetes 通过rbac进行权限控制,实现了哪些account对哪些资源具有哪些权限的控制,但它并不是万能的, 因为rbac控制的操作权限类型是有限的,需要再进行一些细化的权限管控就无从下手了,比如需要限制一些controller只能从制定的harbor进行image的下载,比如需要限制一些controller只能使用指定范围的端口号等,所幸Kubernetes在各个方面都可以进行一些自定义的开发,而webhook就是用来实现类似需求的。 webhook官网介绍 先看下官网的
Kubernetes Admission Webhook在prometheus-operator中的使用
以简为道
12-21 1380
一 Admission Webhook概览 Kubernetes Admission Webhook机制作为API Server的扩展机制,可以用来灵活地在对API Server对象进行写操作时实现对象统一修改和检验等功能,详细的功能介绍可以参见官方文档。当客户端连接API Server更改对象时,会经过下图所示的过程。 总得来说,有两种Admission Webhook: Mutating ...
了解Kubernetes三大门神之一Webhook
happy_85的专栏
07-05 764
Admission Webhook 是提高 Kubernetes 集群安全性的关键组件之一。通过动态审查和修改请求,它可以强制执行安全策略、防止恶意操作,并满足定制化需求。部署 Admission Webhook 需要一些配置和验证步骤,但一旦成功完成,它将为您的 Kubernetes 集群带来更高的安全性和可靠性。
2024年最新kubebuilder实战之七:webhook,前端面试送分题
最新发布
2401_84418883的博客
05-15 420
开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】大厂面试问深度,小厂面试问广度,如果有同学想进大厂深造一定要有一个方向精通的惊艳到面试官,还要平时遇到问题后思考一下问题的本质,找方法解决是一个方面,看到问题本质是另一个方面。还有大家一定要有目标,我在很久之前就想着以后一定要去大厂,然后默默努力,每天看一些大佬们的文章,总是觉得只有再学深入一点才有机会,所以才有恒心一直学下去。
云原生 | Kubernetes - Webhook 模式
Trollz的博客
01-18 1545
版本兼容规则
kuberneteswebhook开发(一篇搭好开发架构)
weixin_40965647的博客
08-02 874
webhookkuberneteswebhook开发实例 介绍 Webhook就是一种HTTP回调,用于在某种情况下执行某些动作,Webhook不是K8S独有的,很多场景下都可以进行Webhook,比如在提交完代码后调用一个Webhook自动构建docker镜像 K8S中提供了自定义资源类型和自定义控制器来扩展功能,还提供了动态准入控制,其实就是通过Webhook来实现准入控制,分为两种:验...
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)
01-09
kubernetes webhook image
Go-GuardbyAppsCode是一个Kubernetes认证WebHook服务器
08-14
通过使用自定义 WebHook,你可以实现更复杂的认证策略,比如基于角色的访问控制(RBAC)和自定义策略,这在标准 Kubernetes RBAC 中可能难以实现。 WebHookKubernetes 中是一种回调机制,它允许集群在执行某些...
tugger:Kubernetes Admission Webhook强制从私有注册表中提取Docker映像
04-02
Tugger是Kubernetes Admission网络挂钩,用于强制从私有注册表中提取docker映像。 先决条件 Kubernetes 1.9.0或以上与admissionregistration.k8s.io/v1 API启用。 通过以下命令进行验证: kubectl api-versions | ...
kube-mutating-webhook-tutorial:一个实现sidecar注入的Kubernetes变异Webhook服务器
05-09
Kubernetes突变Webhook用于Sidecar注入 此tutoral显示了如何构建和部署 :注射nginx的边车容器插入到持久对象的现有吊舱。 先决条件 v1.12 +版本 版本17.03+ 版本v1.11.3 + 访问Kubernetes v1.11.3 +集群与...
kubehook:基于 JWT 的 Kubernetes webhook 身份验证服务
05-30
Kubehook 是 KubernetesWebhook 服务。 它提供了一个 API 端点来生成 ,另一个代表 Kubernetes 验证令牌。 生成令牌 Kubehook 提供了一个小的 Web UI 来请求令牌: 请求令牌后,UI会说明如何使用令牌: ...
kubectl-view-webhook:该项目旨在可视化准入webhook配置资源的关键部分
05-27
kubectl-view-webhookKubernetes中可视化您的Webhook配置。 目录 执照 安装 Go二进制文件由GoReleaser随每个发行版自动构建。 这些可以在该项目的GitHub版本页面上访问。 有几种安装view-webhook的方法。 推荐的安装方法是通过krew。 通过围棋 $ go get https://github.com/Trendyol/kubectl-view-webhook 通过源代码 选项1(如果您有Go编译器并想要调整代码): $ git clone https://github.com/Trendyol/kubectl-view-webhook $ cd kubectl-view-webhook $ go build . 通过克鲁 Krew是kubectl插件管理器。 如果尚未安装krew,请通过kubernetes-si
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
Kubernetes Admission Controller Webhook演示这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份...
imageswap-webhookKubernetes的图像交换突变录取Webhook
02-12
Webhook使用Flask框架以Python编写。例现有图像定义: docker.io/nginx/nginx:latest 掉期后的图片: my-registry.example.com/nginx/nginx:latest总览先决条件Kubernetes 1.9.0或更高版本,并且启用了...
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入WebhookKubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
k8s中webhook
02-24 1180
提供了动态准入控制,这种控制就是采用webhook方式实现,具体分两种方式,一种是验证性质,(validating admission webhook),另一种方式修改性质准入(mutating admission webhook),这两种方式都是资源持久化到etcd的时候进行验证与修改,这种使用方式可以用在其他方案设计中,但是这个使用也是有缺点,比如在大量频发资源创建情况,webhook的性能将会是一种瓶颈。
K8S学习指南(35)-k8s权限管理模型webhook
俞兆鹏的博客
12-23 1272
通过本文,我们深入了解了Kubernetes中权限管理模型Webhook的基本概念、核心组件,并通过详细的示例演示了如何创建一个简单的Webhook服务,以及如何使用Webhook实现对Pod创建请求的权限控制。本文将深入研究KubernetesWebhook的基本概念、核心组件,以及通过详细的示例演示如何实现基于Webhook的权限管理。在示例中,我们将创建一个简单的Webhook服务,用于验证Pod的名称是否符合特定的命名规范。你会发现该Pod的创建请求被拒绝,因为它的名称不符合规范。
云原生Java架构师——KubeSphere DevOps流水线部署HelloWorld
DreamsArchitects的博客
11-16 2478
目录一、简介二、DevOps流程2.1 拉取代码2.2 项目编译2.3 构建镜像2.4 推送镜像仓库2.5 部署到k8s集群三、注意 一、简介 DevOps (Development和Operations的组合词)是一系列做法和工具,可以使 IT 和软件开发团队之间的流程实现自动化。其中,随着敏捷软件开发日趋流行,持续集成 (CI) 和持续交付 (CD) 已经成为该领域一个理想的解决方案。在 CI/CD 工作流中,每次集成都通过自动化构建来验证,包括编码、发布和测试,从而帮助开发者提前发现集成错误,团队也可
K8S 中的webhook
03-06
Kubernetes中的Webhook是一种机制,用于在特定事件发生时向外部服务发送HTTP请求。它可以用于验证、修改或拒绝Kubernetes API请求。Webhook可以与Kubernetes的认证、授权和准入控制机制结合使用,以增强集群的安全性和可扩展性。 Kubernetes中的Webhook主要有两种类型:准入控制Webhook和认证授权Webhook。 1. 准入控制Webhook:准入控制Webhook用于在资源创建、更新或删除之前对请求进行验证和修改。它可以用于实施自定义的准入策略,例如限制特定用户或组对资源的访问权限,或者自动为资源添加标签或注释等。 2. 认证授权Webhook:认证授权Webhook用于对用户进行身份验证和授权。它可以与外部身份提供者(如LDAP、OAuth等)集成,以验证用户的身份,并根据其权限决定是否允许其执行特定操作。 使用Webhook可以实现更灵活和定制化的访问控制策略,同时也可以将认证和授权的逻辑外置到独立的服务中,提高了系统的可维护性和扩展性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值