k8s准入控制器Admission Webhook研究

已于 2023-08-06 16:04:14 修改
阅读量1.5k 收藏 18
点赞数 18
文章标签: kubernetes 容器 云原生
于 2023-08-06 16:00:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47575974/article/details/132109151
版权

1. 什么是准入控制插件

k8s官方文档解释:

准入控制器 是一段代码,它会在请求通过认证和鉴权之后、对象被持久化之前拦截到达 API 服务器的请求。

准入控制器分为两种:验证(Validating)性质和变更(Mutating)性质的准入控制器。变更(mutating)控制器可以根据被其接受的请求更改相关对象;验证(validating)控制器则不行。

通过准入控制器,可以拦截api请求,从而根据自定义逻辑修改或拒绝请求。例如,通过验证性准入控制器,可以验证资源对象的配置是否符合预定义的规则,通过变更性准入控制器,可以对资源对象的进行某些初始化配置等。

2. 默认开启的准入控制插件

k8s默认开启一些准入控制插件,可通过kube-apiserver -h | grep enable-admission-plugins查看。

例如,NamespaceLifecycle这个准入插件可以禁止删除三个系统保留的名字空间,即 default、 kube-system 和 kube-public,这样当删除default命名空间时,这个请求会被拒绝

3. MutatingAdmissionWebhook ValidatingAdmissionWebhook 控制器

除了k8s内置的准入控制,k8s提供了验证性质的准入webhook(ValidatingAdmissionWebhook)和变更性质的准入webhook(MutatingAdmissionWebhook )用于接收准入请求并对其进行处理的 HTTP 回调机制MutatingAdmissionWebhook 会先调用,它们可以更改发送到 API 服务器的对象以执行自定义的设置默认值操作。在完成所有对象修改并且 API 服务器也验证了所传入的对象之后, ValidatingAdmissionWebhook 会被调用,并通过拒绝请求的方式来强制实施自定义的策略。

4. 编写一个MutatingAdmissionWebhook控制器示例

k8s官方提供了详细的webhook服务器的示例(https://github.com/kubernetes/kubernetes/blob/release-1.21/test/images/agnhost/webhook/main.go)。

接下来,我们构建一个准入控制器示例:

创建pod时必须包含指定的label,并且会将pod对象的镜像进行变更。

代码示例:

关键点就是构建处理AdmissionReview对象,k8s官方文档(动态准入控制 | Kubernetes)对AdmissionReview有着详细的结构说明

import (
	"crypto/tls"
	"encoding/json"
	"fmt"
	"io/ioutil"
	"log"
	"net/http"

	admissionv1 "k8s.io/api/admission/v1"
	corev1 "k8s.io/api/core/v1"
	metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
	"k8s.io/apimachinery/pkg/runtime"
	"k8s.io/apimachinery/pkg/runtime/serializer"
)

const (
	port     = 8080
	certFile = "/path/to/tls.crt" // 证书文件路径
	keyFile  = "/path/to/tls.key" // 私钥文件路径
)

var (
	// 定义反序列化器
	decoder runtime.Decoder
	// 定义要求的标签
	requiredLabel = "required-label"
)

func init() {
	// 创建反序列化器
	scheme := runtime.NewScheme()
	codecs := serializer.NewCodecFactory(scheme)
	decoder = codecs.UniversalDeserializer()
}
func main() {
	// 注册处理函数
	http.HandleFunc("/validate", validateHandler)
	// 加载证书和私钥文件
	cert, err := tls.LoadX509KeyPair(certFile, keyFile)
	if err != nil {
		log.Fatalf("Failed to load certificate and key: %v", err)
	}
	// 创建 TLS 配置
	tlsConfig := &tls.Config{
		Certificates: []tls.Certificate{cert},
	}
	// 创建 HTTPS 服务器
	server := &http.Server{
		Addr:      fmt.Sprintf(":%v", port),
		TLSConfig: tlsConfig,
	}
	// 启动 Web 服务器
	log.Printf("Server listening on port %v", port)
	log.Fatal(server.ListenAndServeTLS("", ""))
}
func validateHandler(w http.ResponseWriter, r *http.Request) {
	data, err := ioutil.ReadAll(r.Body)
	if err != nil {
		log.Printf("Failed to read request body: %v", err)
		http.Error(w, "Failed to read request body", http.StatusBadRequest)
		return
	}
	// 解析 admissionReview 请求对象
	admissionReview := admissionv1.AdmissionReview{}
	_, _, err = decoder.Decode(data, nil, &admissionReview)
	if err != nil {
		log.Printf("Failed to decode AdmissionReview: %v", err)
		http.Error(w, "Failed to decode AdmissionReview", http.StatusBadRequest)
		return
	}
	pod := corev1.Pod{}
	err = json.Unmarshal(admissionReview.Request.Object.Raw, &pod)
	if err != nil {
		log.Printf("Failed to unmarshal Pod: %v", err)
		http.Error(w, "Failed to unmarshal Pod", http.StatusBadRequest)
		return
	}
	if !validatePodLabels(&pod) {
		// 标签不符合要求,返回错误响应
		admissionReview.Response = &admissionv1.AdmissionResponse{
			Result: &metav1.Status{
				// 自定义状态码和返回客户端的信息
				Message: "Pod labels do not meet the requirements",
				Code:    403,
			},
			// 通过Allowed字段控制允许请求或禁止请求
			Allowed: false,
		}

	} else {
		// ValidatingAdmissionWebhook和MutatingAdmissionWebhook的区别就在于
		// 处理Mutating Webhook时需要拼接JSONPatch 的数据
		// 当没有此处逻辑时,该示例代码就是个验证性的webhook
		patchTypeConst := admissionv1.PatchTypeJSONPatch
		admissionReview.Response = &admissionv1.AdmissionResponse{
			Allowed:   true,
			PatchType: &patchTypeConst,
			// 当传入指定标签时,通过patch操作修改镜像
			Patch: patchOperation(),
		}
	}
	// 设置 AdmissionReview 的 UID 和 API 版本
	admissionReview.Response.UID = admissionReview.Request.UID
	admissionReview.APIVersion = admissionv1.SchemeGroupVersion.String()
	// 序列化 AdmissionReview 对象
	responseData, err := json.Marshal(admissionReview)
	if err != nil {
		log.Printf("Failed to marshal AdmissionReview: %v", err)
		http.Error(w, "Failed to marshal AdmissionReview", http.StatusInternalServerError)
		return
	}
	// 返回响应数据
	w.Header().Set("Content-Type", "application/json")
	_, err = w.Write(responseData)
	if err != nil {
		log.Printf("Failed to write response: %v", err)
	}

}
func validatePodLabels(pod *corev1.Pod) bool {
	for key, _ := range pod.Labels {
		if key == requiredLabel {
			return true
		}
	}

	return false
}

func patchOperation() []byte {
	str := `[{
		"op":    "replace",
		"path":  "/spec/containers/0/image",
		"value": "nginx:1.16"
	}]`

	return []byte(str)
}

5. 部署自定义的webhook服务

webhook是通过https暴露服务的,因此需要为其生成相关证书。这里用cfssl生成相关证书。

5.1 centos安装cfssl

wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64

wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64

chmod +x cfssl_linux-amd64 cfssljson_linux-amd64 cfssl-certinfo_linux-amd64

mv cfssl_linux-amd64 /usr/bin/cfssl

mv cfssljson_linux-amd64 /usr/bin/cfssljson

mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo

cfssl version

5.2 生成ca证书和私钥

cfssl print-defaults config > ca-config.json
cfssl print-defaults csr > ca-csr.json

ca-config.json内容

{
	"signing": {
		"default": {
			"expiry": "168h"
		},
		"profiles": {
			"server": {
				"expiry": "876000h",
				"usages": [
					"signing",
					"key encipherment",
					"client auth",
					"server auth"
				]
			}
		}
	}
}

ca-csr.json内容

{
    "CN": "kubernetes",
    "key": {
        "algo": "ecdsa",
        "size": 256
    },
    "names": [
        {
            "C": "CN",
            "L": "BeiJing",
            "ST": "BeiJing",
            "O": "k8s",
            "OU": "CA"
        }
    ]
}

生成证书

cfssl gencert -initca ca-csr.json | cfssljson -bare ca

5.3 生成server端证书

cfssl print-defaults csr > server.json

server.json内容

{
    "CN": "admission",
    "key": {
        "algo": "rsa",
        "size": 2048
    },
    "names": [
        {
           "C": "CN",
        "L": "BeiJing",
        "ST": "BeiJing",
        "O": "k8s",
        "OU": "CA"
        }
    ]
}

创建Server 端证书,-hostname修改为webhook的service名字和命名空间

cfssl gencert -ca=ca.pem -ca-key=ca-key.pem -config=ca-config.json \
-hostname=mypod-webhook.default.svc -profile=server server.json | cfssljson -bare server

5.4 基于server证书和私钥创建secret对象

kubectl create secret tls mypod-webhook-tls --key=server-key.pem  --cert=server.pem

5.5 制作镜像

编译二进制文件

set GOOS=linux
set GOARCH=amd64
go build -o webhook

制作镜像,Dockerfile内容

FROM alpine:3.9.2
COPY webhook webhook
RUN chmod -R 777 webhook
ENTRYPOINT ["/webhook"]

5.6 部署webhook

示例代码中写死了证书位置,直接挂载证书。webhook的yaml为

apiVersion: apps/v1
kind: Deployment
metadata:
  name: mypod-webhook
  labels:
    app: mypod-webhook
spec:
  selector:
    matchLabels:
      app: mypod-webhook
  template:
    metadata:
      labels:
        app: mypod-webhook
    spec:
      containers:
        - name: webhook
          image: mypod-webhook:v1
          imagePullPolicy: IfNotPresent
          ports:
          - containerPort: 8080
          volumeMounts:
          - name: webhook-certs
            mountPath: /path/to
            readOnly: true
      volumes:
        - name: webhook-certs
          secret:
            secretName: mypod-webhook-tls
---
apiVersion: v1
kind: Service
metadata:
  name: mypod-webhook
  labels:
    app: mypod-webhook
spec:
  ports:
  - port: 443
    targetPort: 8080
  selector:
    app: mypod-webhook

 

5.7 注册MutatingAdmissionWebhook

其中CA_BUNDLE值是ca.pem的base64编码值,yaml为

apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata:
  name: mypod-webhook-muta
webhooks:
- name: webhookmuta.mydomain.io
  rules:
  - apiGroups:   [""]
    apiVersions: ["v1"]
    operations:  ["CREATE"]
    resources:   ["pods"]
  clientConfig:
    service:
      namespace: default
      name: mypod-webhook
      path: "/validate"
    caBundle: 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
  admissionReviewVersions: ["v1"]
  sideEffects: None

 

6. 验证自定义的webhook服务

该pod示例没有指定labels,被拒绝

apiVersion: v1
kind: Pod
metadata:
  name: nginx1
  labels:
    app: nginx
spec:
  containers:
  - name: nginx
    image: nginx
    ports:
    - containerPort: 80

该pod示例有指定labels,能够创建,但是镜像被修改为nginx:1.16

apiVersion: v1
kind: Pod
metadata:
  name: nginx
  labels:
    app: nginx
    required-label: "true"
spec:
  containers:
  - name: nginx
    image: nginx
    ports:
    - containerPort: 80

 

可以观察到yaml的latest的nginx镜像会被变更为1.16的nginx 

一身轻灬
关注
K8S Webhook研究
SHELLCODE_8BIT的博客
04-18 1508
从0到1开发K8S_Webhook最佳实践 - 知乎 (zhihu.com)
使用 Admission Webhook 机制实现多集群资源配额控制
吉小白的博客
01-12 609
1 要解决的问题 集群分配给多个用户使用时,需要使用配额以限制用户的资源使用,包括 CPU 核数、内存大小、GPU 卡数等,以防止资源被某些用户耗尽,造成不公平的资源分配。 大多数情况下,集群原生的 ResourceQuota 机制可以很好地解决问题。但随着集群规模扩大,以及任务类型的增多,我们对配额管理的规则需要进行调整: ResourceQuota 针对单集群设计,但实际上,开发/生产中经常使用 多集群 环境。 集群大多数任务通过比如deployment、mpijob 等 高级资源对象 进行提交,我们
Kubernetes 风云录 】- MutatingWebhook 实现自动注入
最新发布
ycloud
03-19 647
目的为了将链路上的所有服务在不调整控制器的前提下,为其运行的 Pod 自动添加特定的 label,目前考虑的方案是通过 MutatingAdmissionWebhook 实现,在 Pod 创建时动态注入指定的 label,从而实现统一标识和管理的目的。
k8sAdmission webhook
weixin_43114954的博客
10-06 2483
前言 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhookAdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
k8s admission webhook初探
u012803274的博客
03-20 3243
前言 之前一篇博客讨论的问题,就是如何杀掉container的主进程,并且让container不重启,最后有讲到说也许可以使用admission webhook,动态替换容器,做到给一个空容器,也就是deployment或者是statufulset的image标签,换成一个空镜像启动,然后在这里container中就可以java -jar启动自己的容器, 关闭自己的容器,完全当成是一个小型Linux来使用了,方便快速验证功能,不用每次都需要跑CI/CD。所以今天就来看看方案可行性,并且动手实践一把。 实践
k8s准入webhook工作流程
zpsimon的博客
11-14 757
kubernetes admission webhook,ImagePolicyWebhook
Kubernetes 准入控制器Admission Webhook
小楼一夜听春雨,深巷明朝卖杏花
07-20 3480
Admission Webhook准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可以监
kube-apiserver源码-动态准入控制 admission webhook
u014152978的博客
07-06 1654
动态配置admission webhook举例(详情见官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/): apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: "pod-policy.example.com" web
K8S学习指南(40)-k8s权限管理对象 PodSecurity admission webhook
俞兆鹏的博客
12-26 1129
通过本文,我们深入了解了Kubernetes中权限管理对象PodSecurity Admission Webhook的基本概念、工作原理、创建方式,并通过详细的示例演示了如何创建一个简单的PodSecurity Admission Webhook。根据Webhook Server的配置信息,创建MutatingWebhookConfiguration和ValidatingWebhookConfiguration资源,并将Webhook的地址和证书信息填入配置中。
K8s 中的 Operator 添加 Webhook 功能
Huangjiazhen711的博客
09-13 859
准入控制器是在对象持久化之前用于对 Kubernetes API Server 的请求进行拦截的代码段,在请求经过身份验证和授权之后放行通过。准入控制器可能正在 validating、mutating 或者都在执行,Mutating 控制器可以修改他们处理的资源对象,Validating 控制器不会,如果任何一个阶段中的任何控制器拒绝了请求,则会立即拒绝整个请求,并将错误返回给最终的用户。时序图如下所示:如果我们想为 CRD 实现 admission webhook,我们唯一要做的就是实现。
k8swebhook
02-24 1312
提供了动态准入控制,这种控制就是采用webhook方式实现,具体分两种方式,一种是验证性质,(validating admission webhook),另一种方式修改性质准入(mutating admission webhook),这两种方式都是资源持久化到etcd的时候进行验证与修改,这种使用方式可以用在其他方案设计中,但是这个使用也是有缺点,比如在大量频发资源创建情况,webhook的性能将会是一种瓶颈。
admission webhooks
qq_34482492的博客
05-02 432
用于准入控制。
k8s admission学习】项目说明
叮当猫的喵i
10-07 546
这两个资源会在 pod 、 deployment、service 创建时校验,若不删除,会影响这些资源的创建。通过 WHITELIST_REGISTRIES 指定镜像白名单的配置。校验镜像的来源是否是白名单内,不在白名单内就阻断 pod 创建。目前在 webhook 中实现的逻辑是。
Kubernetes Admission Webhook Validating 与 mutating 实践
爱死亡机器人
01-06 3741
以非root运行pod 需求 Kubernetes 的很多默认设置是为了便于使用,有时它们会牺牲一定的安全性。因为按照默认设置,容器一般是以 root 身份运行的(即便没有进一步配置,Dockerfile 中也没有指令)。 尽管容器在一定程度上与底层主机隔离,但这样确实会增加部署风险,比如去年曝光的 runC 漏洞(CVE-2019-5736),它被利用的原因之一就是容器内进程都是以 root 权限运行的。 下面我们以这个问题为例,一起利用准入控制器 webhook 建立自定义安全策略。 为了解决上述问题,
k8s】在ingress-controlller中Admission Webhook 的作用
binqian的专栏
12-16 1266
在 NGINX Ingress Controller 中,Admission Webhook 是一种用于增强 Kubernetes API 请求的机制,它允许你在资源(如 Ingress)被创建或更新之前对这些请求进行验证或修改。作用:验证传入的 API 请求是否符合预定义的规则和条件。工作原理:当用户尝试创建或更新一个 Ingress 资源时,API Server 会将请求发送给 Validating Admission Webhook 进行验证。
准入控制器Admission Webhook
qq_36270681的博客
01-22 1451
Admission Webhook准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可
k8s: admission demo(准入控制)
conglanjun的博客
04-22 945
k8s admission demo,准入控制用例。
Kubernetes】基于SpringBoot的Mutating Admission Webhook Server实现
12Dong的博客
05-04 1280
背景 注意事项 思路 过程 背景 公司内网的Kubernetes集群因为Istio sidecar的原因,经常会达到公司运维给我们组设置的资源上限。一个我们的业务服务通常由两部分容器组成,一个是我们真实对外服务的容器,另一个则是由Istio sidecar inject也就是Istio框架自动注入的Istio-sidecar。不提我们的业务容器,只针对Istio sidecar,他的resou...
Kubernetes开发(6)-MutatingAdmissionWebhook练手
zyxpaomian的博客
06-01 1244
之前写了一个简单的webhook 的tls server,并且写了一个简单的validate的api 用于实现资源的拦截。之前有提到webhook有两类,第二类就是mutatingadmissionwebhook,即对资源进行修改,仔细想想不会太意外,比如istio本质上不就是mutatingadmissionwebhook么,在启动的时候直接sidecar方式插入一个container,然后通过该container进行各类服务收集/治理,那练手的话可以自己插入一个redis 容器,模拟istio的side
k8s查看Admission webhook
05-31
要查看Kubernetes中的Admission Webhook,可以使用以下命令: ``` kubectl get validatingwebhookconfigurations ``` 该命令将列出所有可用的验证Webhook配置。如果要查看特定验证Webhook配置的详细信息,可以使用以下命令: ``` kubectl describe validatingwebhookconfigurations <webhook-configuration-name> ``` 其中,`<webhook-configuration-name>`是您要查看的验证Webhook配置的名称。您还可以使用类似的命令查看准入Webhook配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值