开发kubernetes的webhook扩展程序之获取证书文件

最新推荐文章于 2024-05-21 14:39:01 发布
最新推荐文章于 2024-05-21 14:39:01 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: k8s 文章标签: k8s kubernetes webhook 证书 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiashanrenlaozhang/article/details/94140958
版权
摘要

本文章主要介绍开发k8s的webhook扩展程序是需要做的获取证书的流程,主要参考了一个webhook程序。是对该程序的自动生成脚本 webhook-create-signed-cert.sh的简单描述。

需要TLS验证的原因
  1. 首先API服务器与其他程序通信需要保证安全性,所以他们之间要https加密通信。
  2. webhook程序跟API服务器通信的时候可以理解为webhook程序是服务端,所以它要产生公私匙,将公匙交给客户端,让其加密后再发送数据。但是,客户端不知道服务端发公匙是不是伪造的,所以需要一个第三方机构CA进行证书签名。证书签名是使用CA的私匙加密,然后客户端用CA的公匙解密验证证书的真伪。
关于https和证书的相关知识

  • https连接的通信是加密的,建立连接的时候使用非对称加密,然后协商一个对称加密的密匙,之后使用对称加密的密匙进行加密通信。

  • 要产生证书,需要申请者产生私匙和CSR证书请求文件,发送CSR给CA获得证书。

  • CSR 即证书签名申请(Certificate Signning Request),获取 SSL 证书,需要先生成 CSR 文件并提交给证书颁发机构&

最低0.47元/天 解锁文章
windyear
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
给 K8s 中的 Operator 添加 Webhook 功能【保姆级】
m0_73257876的博客
09-13 998
准入控制器是在对象持久化之前用于对 Kubernetes API Server 的请求进行拦截的代码段,在请求经过身份验证和授权之后放行通过。准入控制器可能正在 validating、mutating 或者都在执行,Mutating 控制器可以修改他们处理的资源对象,Validating 控制器不会,如果任何一个阶段中的任何控制器拒绝了请求,则会立即拒绝整个请求,并将错误返回给最终的用户。时序图如下所示:如果我们想为 CRD 实现 admission webhook,我们唯一要做的就是实现。
downloadwebhook是一个小型webhook服务器实现通过Webhook下载文件
08-11
download-webhook是一个小型webhook服务器,可以通过Webhook(发布请求)轻松地将媒体内容(视频,音频,图像)从Web下载到您的VPS或NAS,它支持从所有您获得支持的站点和确切的资源URL下载。
自动生成webhook组件证书
特立独行的毛毛虫的博客
01-18 1465
开发监控operator的时候,如果项目带有webhook功能,如何部署时自动生成证书
12. Rancher Kubernetes 组件-过期 Webhook 证书轮换故障排除
最新发布
05-21 297
Rancher Kubernetes 组件图。如果你的 Rancher 版本安装了rancher-webhook,某些版本创建的证书将在一年后过期。如果证书未续订,你需要轮换你的 webhook 证书
webhook证书管理
fayeestone的博客
07-29 1921
简介 在kubernetes中,为了保证安全要求必须使用https协议访问webhook服务器。这里就会涉及到TLS证书问题,介绍TLS证书的资料很多,基本原理就是通过公钥和私钥验证通信双方的合法身份。在使用operator SDk开发webhook默认使用名字为webhook-server-cert的secret提供TLS证书。详细内容可以查看配置文件config/default/manager_webhook_patch.yaml中下面部分: ... volumes: - name: cert s
kuberneteswebhook开发(一篇搭好开发架构)
weixin_40965647的博客
08-02 859
webhookkuberneteswebhook开发实例 介绍 Webhook就是一种HTTP回调,用于在某种情况下执行某些动作,Webhook不是K8S独有的,很多场景下都可以进行Webhook,比如在提交完代码后调用一个Webhook自动构建docker镜像 K8S中提供了自定义资源类型和自定义控制器来扩展功能,还提供了动态准入控制,其实就是通过Webhook来实现准入控制,分为两种:验...
kubehook:基于 JWT 的 Kubernetes webhook 身份验证服务
05-30
Kubehook 是 KubernetesWebhook 服务。 它提供了一个 API 端点来生成 ,另一个代表 Kubernetes 验证令牌。 生成令牌 Kubehook 提供了一个小的 Web UI 来请求令牌: 请求令牌后,UI会说明如何使用令牌: ...
Go-GuardbyAppsCode是一个Kubernetes认证WebHook服务器
08-14
Guard by AppsCode是一个 Kubernetes 认证WebHook服务器
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)
01-09
kubernetes webhook image
imageswap-webhookKubernetes的图像交换突变录取Webhook
02-12
用于Kubernetes的ImageSwap突变入场控制器该将使用用户指定的图像前缀交换Pod中的现有图像定义。 这使您可以将相同的清单用于无法访问常用映像注册表(dockerhub,码头,gcr等)的空白环境。 Webhook使用Flask框架以...
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入WebhookKubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
k8s使用外部ca证书
qyq88888的专栏
02-24 1495
k8s 使用 ca证书参考
kubernetes 运维——v1.9.0 安装ingress-nginx-controller出错MountVolume.SetUp failed for volume “webhook-cert“
Jack__iT的博客
11-24 7857
kubernetes 1.9.0 安装ingress-nginx-controller出错: MountVolume.SetUp failed for volume "webhook-cert" : secret "ingress-nginx-admission" not found Failed to pull image "k8s.gcr.io/ingress-nginx/controller:v0.41.2@sha256:1f4f402b9c14f3ae92b11ada1dfe9893a88f0fa
kubernetes开发自定义webhook
记录成长,分享收获。
06-24 1009
这篇文章将带着我们从头开始部署自己的webhook。本文适合对kuberneteswebhook有一定认知和了解的读者,帮助读者快速部署自己的webhook,话不多说直接开始。
Kubernetes 两步验证 - 使用 Serverless 实现动态准入控制
CODING 博客
06-30 1268
作者:CODING - 王炜 1. 背景 如果对 Kubernetes 集群安全特别关注,那么我们可能想要实现这些需求: 如何实现 Kubernetes 集群的两步验证,除了集群凭据,还需要提供一次性的 Token 校验? 如何验证部署的镜像是否安全合规,使得仅允许部署公司内部镜像仓库的 Docker 镜像? 如何实现对每一个 Deployment 动态注入 sidecar ,满足特定安全或业务需求? 如何实现集群级的 imagePullSecrets ,当创建新的命名空间的时候,自动将 image.
快速集成Citrix ADC与Istio,实现微服务应用内的流量优化!
Rancher
07-23 436
简 介 随着微服务网络的变化和增长,它们之间的交互可能难以管理和理解。这就是为什么将服务网格作为单独的基础架构层很方便的原因。服务网格是一种大规模处理微服务的方法。它可以处理路由和终止流量、监控和跟踪,服务交付和路由、负载均衡、断路(circuit breaking)以及相互认证。服务网格采用了这些组件,并使它们成为基础架构层的一部分,从而无需开发人员编写支持这些功能的特定代码。 Istio是一个十分受欢迎的开源服务网格,已经内置在Rancher Kubernetes管理平台中。这一集成使得开发人员可以专
kubernetes安全控制认证与授权(一)
热门推荐
程序源234的专栏
07-22 2万+
kubernetes 对于访问 API 来说提供了两个步骤的安全措施:认证和授权。认证解决用户是谁的问题,授权解决用户能做什么的问题。通过合理的权限管理,能够保证系统的安全可靠。通俗的讲,认证就是验证用户名密码,授权就是检查该用户是否拥有权限访问请求的资源。
k8s 的admission webhook 部署在集群外,如何创建ssl 文件
Standup-jb的博客
01-18 891
背景 一般情况下,对于webhook服务都是部署在k8s的集群内部的,但是我们这边有需要,需要部署在集群外面的物理机上,但是在MutatingWebhookConfiguration 里面只能配置https,所以需要自己签发证书。整个过程还是踩了坑。把过程记录下来。照着做肯定能成功。 安装cfssl 这个就不放具体的方法了,Google搜索一下。安装后执行一下命令 cfssl version 如果能正常显示如下,就代表安装好了 Version: 1.4.1 Runtime: go1.13.4 使用如下命令
webhook企业微信机器人发送文件不识别文件类型
11-19
Webhook企业微信机器人发送文件不识别文件类型可能是由于文件格式不兼容或者企业微信机器人的设置问题导致的。首先,我们需要确保发送的文件是常见的格式,比如PDF、JPG、PNG等格式,避免发送一些特殊的文件格式。其次,需要检查企业微信机器人的设置是否允许接收和识别特定格式的文件,可能需要在后台设置中进行调整。另外,也要考虑文件大小是否超过了企业微信机器人的接收限制,过大的文件可能无法被识别。如果以上方法都无法解决问题,建议联系企业微信的技术支持团队寻求帮助,他们会提供更专业的解决方案。在日常使用中,也需要注意发送文件时的文件格式和大小,避免出现文件不识别的情况,以确保文件能够被正常接收和使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值