apiserver 对接github webhook

已于 2022-11-29 20:11:25 修改
阅读量213 收藏 1
点赞数
分类专栏: k8s pod高可用 文章标签: github
于 2022-11-29 20:01:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyong15221125927/article/details/128103554
版权

1.首先写一个监听的后台服务,比如监听在3000端口。

package main
import (
        "context"
        "encoding/json"
        "log"
        "net/http"
        "github.com/google/go-github/github"
        "golang.org/x/oauth2"
        authentication "k8s.io/api/authentication/v1beta1"
)

func main() {
        http.HandleFunc("/authenticate", func(w http.ResponseWriter, r *http.Request) {
                decoder := json.NewDecoder(r.Body)
                var tr authentication.TokenReview
                err := decoder.Decode(&tr)
                if err != nil {
                        log.Println("[Error]", err.Error())
                        w.WriteHeader(http.StatusBadRequest)
                        json.NewEncoder(w).Encode(map[string]interface{}{
                                "apiVersion": "authentication.k8s.io/v1beta1",
                                "kind":       "TokenReview",
                                "status": authentication.TokenReviewStatus{
                                        Authenticated: false,
                                },
                        })
                        return
                }
                log.Print("receving request")
                // Check User
                ts := oauth2.StaticTokenSource(
                        &oauth2.Token{AccessToken: tr.Spec.Token},
                )
                //得出一个带token信息的tokenresource
                tc := oauth2.NewClient(context.Background(), ts)
                //新建github的client
                client := github.NewClient(tc)
                user, _, err := client.Users.Get(context.Background(), "")
                if err != nil {
                        log.Println("[Error]", err.Error())
                        w.WriteHeader(http.StatusUnauthorized)
                        json.NewEncoder(w).Encode(map[string]interface{}{
                                "apiVersion": "authentication.k8s.io/v1beta1",
                                "kind":       "TokenReview",
                                "status": authentication.TokenReviewStatus{
                                        Authenticated: false,
                                },
                        })
                        return
                }
                log.Printf("[Success] login as %s", *user.Login)
                w.WriteHeader(http.StatusOK)
                trs := authentication.TokenReviewStatus{
                        Authenticated: true,
                        User: authentication.UserInfo{
                                Username: *user.Login,
                                UID:      *user.Login,
                        },
                }
                json.NewEncoder(w).Encode(map[string]interface{}{
                        "apiVersion": "authentication.k8s.io/v1beta1",
                        "kind":       "TokenReview",
                        "status":     trs,
                })
        })
        log.Println(http.ListenAndServe(":3000", nil))
}
  1. 创建配置文件
    mkdir /etc/config cp web-config.json /etc/config
{
  "kind": "Config",
  "apiVersion": "v1",
  "preferences": {},
  "clusters": [
    {
      "name": "github-authn",
      "cluster": {
        "server": "http://192.168.34.2:3000/authenticate"
      }
    }
  ],
  "users": [
    {
      "name": "authn-apiserver",
      "user": {
        "token": "secret"
      }
    }
  ],
  "contexts": [
    {
      "name": "webhook",
      "context": {
        "cluster": "github-authn",
        "user": "authn-apiserver"
      }
    }
  ],
  "current-context": "webhook"
}
  1. 注册对应的config到/etc/kubernetes/manifest/kube-apiserver.yaml
- --authentication-token-webhook-config-file=/etc/config/webhook-config.json
以及
volumeMount下添加

   - mountPath: /etc/config
     - name: webhook-config
     readOnly: true
volumes:
    - hostPath:
        path: /etc/config
        type: DirectoryOrCreate
      name: webhook-config

启动服务

在 ~/.kube/config 中加一个user ,并加上token
- name: myuser1
  user:
    token: ******** #在github上生成的                                                     

root@cloud:~# kubectl get po --user myuser1
Error from server (Forbidden): pods is forbidden: User "wuyongmax" cannot list resource "pods" in API group "" in the namespace "default"

 ./authn-webhook 
2022/11/29 11:54:48 receving request
2022/11/29 11:54:49 [Success] login as wuyongmax
fightingwy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes APIServer 认证 基于Webhook的认证服务集成
小楼一夜听春雨,深巷明朝卖杏花
07-12 723
之前我们学习了kubernetes有哪些认证插件,通过几个简单的最基础的认证方式,包括静态token,包括x509,包括serviceaccount,理解了认证插件是如何运作的。如果要将一个k8s集群落地到你的企业,要做生产化运维的时候,你往往要做的的第一步就是和企业内部的认证平台去做集成。如果只是小的集群,只有几个人使用,那么是没有必要的,因为k8s本身是开放式的平台,一般落地生产集群的时候,可以通过一些机制把它构建为多租户的平台,可以让企业用户都来使用这个平台。可以通过和认证集成,通过权限控制,通过配额
Kubernetes 开发【1】——webhook 实现 API Server 请求拦截和修改
kingu_crimson的博客
08-04 1299
admission controller是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器编译进可执行文件,并且只能由集群管理员配置。使用准入控制器 | Kubernetes我们也可以通过自己编写一段代码二次开发来实现更为高级更为复杂的需求,官方有具体的实例,该实例的用途是即仅允许pod从指定的镜像仓库拉取image,否则apiserver将会拒绝本次请求。............
webserverwebhook机制
09-05 342
什么是 webserver(像一个webapi接口,但又不仅仅是web接口) 1,你要从别的网站或服务器上获取资源或信息,别人肯定不会把数据库共享给你,只能给你提供一个他们写好的方法来获取数据,你引用他提供的接口就能使用他写好的方法,从而达到数据共享的目的。 2, python 开发一台软件,java开发另一台软件,如何让java获取python的信息呢? 我们可以让pyth...
APIWebhook,其实并没有那么难懂
meiqia888的博客
04-13 1751
APIWebhook 都允许不同的软件系统同步和共享信息,随着软件应用程序变得越来越相互关联,开发人员必须了解这两种共享数据方式之间的区别,并选择最能满足手头任务需求的工具。
Kubernetes WebHook 入门 -- 入门案例: apiserver 接入 github
aifeier的博客
01-09 2302
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
github-webhook-server:Github Webhook服务器
05-10
$ git clone https://github.com/kgryte/github-webhook-server.git 该应用程序在Node.js上运行。 在运行应用程序之前,通过执行以下命令来安装依赖项 $ make install 快速开始 启动应用程序服务器 $ npm start --...
webhook-server:Github WebHook 自动化部署工具
06-29
Github 自动项目更新工具Usage (单一用作Github自动更新工具)则运行npm install webhook-server --save-devscreencd node_modules/webhook-servernpm start然后关掉ssh远程命令行。如果是想在Linux上长期挂着的话, ...
GitHub-Webhook-Bot:这是一个简单的电报机器人,它将收听GitHub Webhook并通过电报进行通知
03-12
https://your-forwading-url/github 设置您的webhook(仅当您想接收/start命令反馈时) curl " https://api.telegram.org/bot<BOT>/setWebhook?url=https://your-forwading-url/telegram "要构建并运行: ‍:male_...
github-webhook:Github Webhook 拆分主仓库
06-28
github-webhook Github Webhook 拆分主仓库
GitHubCatcher:NodeJS GitHub Webhook捕获和部署
04-06
GitHub的追赶者 世界贸易论坛 可以获取和部署: 基本的NodeJS项目(简单后端) 构建静态文件并将其移动到Vue的公共后端文件夹(vue-frontend) 建立并服务nuxt项目(nuxt-universal) 在您自己的服务器上! ...
k8s sidecar开发-webhook开发
qq_36980207的博客
03-10 912
1.首先需要申请一个secret,用来在进行webhook的时候apiserver访问我们的webhook服务器的时候进行证书认证。 [ -z ${service} ] && service=logcar-service [ -z ${secret} ] && secret=logcar-secret [ -z ${namespace} ] && namespace=kube-system if [ ! -x "$(command -v openss..
K8S自定义webhook实现认证管理
wanger5354的博客
12-08 3121
 作者:乔克 公众号:运维开发故事 知乎:乔克叔叔 博客:https://www.coolops.cn大家好,我是乔克。在Kubernetes中,APIServer是整个集群的中枢神经,它不仅连接了各个模块,更是为整个集群提供了访问控制能力。Kubernetes API的每个请求都要经过多阶段的访问控制才会被接受,包括认证、授权、准入,如下所示。客户端(普通账户、ServiceAccount等)想要访问Kubernetes中的资源,需要通过经过APIServer的三大步骤才能正常访问,三大步骤如下
k8s Webhook 准入控制应用实践
爱死亡机器人
01-06 1766
背景 除了内置的 admission 插件, 准入插件可以作为扩展独立开发,并以运行时所配置的 Webhook 的形式运行。 此页面描述了如何构建、配置、使用和监视准入 Webhook 什么是准入 Webhook? 准入 Webhook 是一种用于接收准入请求并对其进行处理的 HTTP 回调机制。 可以定义两种类型的准入 webhook,即 验证性质的准入 Webhook 和 修改性质的准入 Webhook。 修改性质的准入 Webhook 会先被调用。它们可以更改发送到 API 服务器的对象以执行自定义的
webhook功能概述
xinanrusu的博客
01-06 1993
1.什么是webhook?   webhooks是一个api概念,是微服务api的使用范式之一,也被成为反向api,即:前端不主动发送请求,完全由后端推送。 举个常用例子,比如你的好友发了一条朋友圈,后端将这条消息推送给所有其他好友的客户端,就是 Webhooks 的典型场景。   简单来说,WebHook就是一个接收HTTP POST(或GET,PUT,DELETE)的URL。一个实现了We...
kube-apiserver源码-动态准入控制 admission webhook
u014152978的博客
07-06 1554
动态配置admission webhook举例(详情见官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/): apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: "pod-policy.example.com" web
k8s APIServer调用webhook需要域名解析吗?
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
07-12 714
APIServer webhook调用时,可以直接获取webhook podip地址,而不需要去coredns做解析,这在一定程度上做到解耦合(不依赖coredns)。 其实不止webhookAPIService(聚合API)也遵循上面的过程。 即使APIServer为静态Pod方式,由kubelet管理,创建出来的mirror Pod的spec.dnsPolicy依然为ClusterFirst,而Pod为hostNetwork网络,即Pod中的resolv.conf继承自主机,不经coredns解析
【kubernetes/k8s概念】kube-apiserver admission webhook
zhonglinzhang
07-03 7486
WHY 在 Kubernetes 中还有 authn/authz,为什么还会引入 admission 这种机制? 认证鉴权运行在 filter 中,只能获取 http 请求 header 以及证书,并不能获取请求的 body。所以 authn/authz 只能对客户端进行认证和鉴权,不可以对请求的对象进行任何操作 Admission 运行在 API Server 的增...
Webhooks初体验
weixin_34417200的博客
02-17 337
Rancher 1.4已于上周全面发布!新版本带来了Dashboard和Helm的集成,更细致的网络策略控制,直接构建进平台中的保密管理,当然还有今天要重点介绍的主角,Webhooks! Rancher 1.4版本为webhooks添加了一个新特性,赋予其一个能够处理弹性伸缩的初始驱动程序。实现webhooks的一个关键概念就是“Rece...
Windows OpenVPN的安装之服务器自动启动连接
最新发布
pcplayer的博客
06-14 1111
1. 概念:OpenVPN 安装了一个服务叫做 OpenVPNService,可以在 Windows 系统的服务里面看到;这个服务需要的配置文件放在 config-auto 目录下;配置文件的名称可以是任意文件名,后缀是 .ovpn 就说明它是 OpenVPN 的配置文件。2. 如果上述两个条件(1. 服务自动运行;2. 配置文件在正确目录下),仍然不行,应该去看 log 目录底下的 log 文件,看看问题在哪里。
github webhook
05-21
GitHub webhook是一种自动化工具,它可以在特定事件发生时发送HTTP POST请求到预定的URL...在GitHub上创建Webhook非常简单,只需进入仓库的“Settings”页面,并选择“Webhooks”选项卡,然后填写所需的配置信息即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值