Admission Webhook Part 2

最新推荐文章于 2024-06-26 16:43:20 发布
最新推荐文章于 2024-06-26 16:43:20 发布
阅读量360 收藏
点赞数
分类专栏: the way to kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yevvzi/article/details/102740184
版权

目标

本篇文章我们将参照官方的测试实例来一步步添加一个Admission Webhook

#配置

webhook证书生成

由上节的配置我们可以看出,我们的webhook必须使用https,所以我们需要生成一个自签名的https证书,
ca可以使用自定义的也可以共用apiserver的。

脚本可以参照istio的证书生成脚本: https://raw.githubusercontent.com/istio/istio/release-0.7/install/kubernetes/webhook-create-signed-cert.sh

tmpdir=$(mktemp -d) #生成临时目录
service=sidecar-injector-webhook-svc #指定webhook对应的svc name
namespace=default #指定 运行的命名空间
secret=sidecar-injector-webhook-certs # 指定secret name
csrName=${service}.${namespace}  #指定CertificateSigningRequest 的名称

cat <<EOF >> ${tmpdir}/csr.conf
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = ${service}
DNS.2 = ${service}.${namespace}
DNS.3 = ${service}.${namespace}.svc
EOF

openssl genrsa -out server-key.pem 2048 #生成私钥
openssl req -new -key ${tmpdir}/server-key.pem -subj "/CN=${service}.${namespace}.svc" -out ${tmpdir}/server.csr -config ${tmpdir}/csr.conf # 生成证书签名请求


通过k8s CSR生成证书
cat <<EOF | kubectl create -f -
apiVersion: certificates.k8s.io/v1beta1
kind: CertificateSigningRequest
metadata:
 name: ${csrName}
spec:
 groups:
 - system:authenticated
 request: $(cat ${tmpdir}/server.csr | base64 | tr -d '\n')
 usages:
 - digital signature
 - key encipherment
 - server auth
EOF

kubectl certificate approve ${csrName} # 通过签名请求
serverCert=$(kubectl get csr ${csrName} -o jsonpath='{.status.certificate}') # 获得证书内容
echo ${serverCert} | openssl base64 -d -A -out ${tmpdir}/server-cert.pem # 写入文件

kubectl create secret generic ${secret} \
       --from-file=key.pem=${tmpdir}/server-key.pem \
       --from-file=cert.pem=${tmpdir}/server-cert.pem \ 生成secret 挂载进webhook的容器内部

认证apiserver配置

如果我们的webhook需要对请求进行身份认证,那么我们需要对apiserver进行以下配置:

--admission-control-config-file=/etc/kubernetes/admission-control.conf

/etc/kubernetes/admission-control.conf 文件内容如下:

apiVersion: apiserver.k8s.io/v1alpha1
kind: AdmissionConfiguration
plugins:
- name: MutatingAdmissionWebhook
 configuration:
   apiVersion: apiserver.config.k8s.io/v1alpha1
   kind: WebhookAdmission
   kubeConfigFile: /etc/kubeconfig/mutating-admission-webhook.kubeconfig

/etc/kubeconfig/mutating-admission-webhook.kubeconfig 配置如下:

apiVersion: v1
kind: Config
users:
- name: 'sidecar-injector-webhook-svc.default.svc'
 user:
   token: "testtoken"

MutatingWebhookConfiguration 配置

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
 name: sidecar-injector-webhook-cfg
 labels:
   app: sidecar-injector
webhooks:
 - name: sidecar-injector.morven.me
   clientConfig:
     service:
       name: sidecar-injector-webhook-svc
       namespace: default
       path: "/mutating-pods"
   rules:
     - operations: [ "CREATE" ]
       apiGroups: [""]
       apiVersions: ["v1"]
       resources: ["pods"]
   namespaceSelector:
     matchLabels:
       sidecar-injector: enabled

代码实现

接下来我们参照官方的测试实例实现一个 sidecar inject MutatingAdmissionWebhook。
官方的测试实例地址:
https://github.com/kubernetes/kubernetes/tree/v1.15.0/test/images/webhook

package main

import (
  "crypto/tls"
  "encoding/json"
  "flag"
  "fmt"
  "io/ioutil"
  "net/http"
  "k8s.io/api/admission/v1beta1"
  admissionv1beta1 "k8s.io/api/admission/v1beta1"
  admissionregistrationv1beta1 "k8s.io/api/admissionregistration/v1beta1"
  corev1 "k8s.io/api/core/v1"
  metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
  "k8s.io/apimachinery/pkg/runtime"
  "k8s.io/apimachinery/pkg/runtime/serializer"
  utilruntime "k8s.io/apimachinery/pkg/util/runtime"
  "k8s.io/klog"
  // TODO: try this library to see if it generates correct json patch
)

var scheme = runtime.NewScheme() //用于序列化
var codecs = serializer.NewCodecFactory(scheme) //提供检索序列化方式的函数

const (
  //返回给apiserver的patcher
  podsInjectContainerPatch string = `{"op":"add","path":"/spec/containers/-","value":[{"image":"envoy","name":"envoy","resources":{}}]}`
  addInjectAnnotationPatch string = `{"op":"add","path":"/metadata/annotations","value": {"sidecar-injector-webhook/status": "true"}}`
  updateInjectAnnotationPatch string = `{"op":"replace","path":"/metadata/annotations/sidecar-injector-webhook/status","value":"true"}`
  injectAnnotation string = "sidecar-injector-webhook/status"
)

func init() {
  // 将数据类型注册到scheme
  utilruntime.Must(corev1.AddToScheme(scheme))
  utilruntime.Must(admissionv1beta1.AddToScheme(scheme))
  utilruntime.Must(admissionregistrationv1beta1.AddToScheme(scheme))
}

// 创建AdmissionResponse
func toAdmissionResponse(err error) *v1beta1.AdmissionResponse {
  return &v1beta1.AdmissionResponse{
     Result: &metav1.Status{
        Message: err.Error(),
     },
  }
}


type admitFunc func(v1beta1.AdmissionReview) *v1beta1.AdmissionResponse

// 使用对应http.handlefunc 处理请求
func serve(w http.ResponseWriter, r *http.Request, admit admitFunc) {
  var body []byte
  if r.Body != nil {
     if data, err := ioutil.ReadAll(r.Body); err == nil {
        body = data
     }
  }
 
   // 校验token
   token:=r.Header.Get("Authorization")
   if token!=fmt.Sprintf("Bearer %s",bearToken) {
       klog.Errorf("unexpect bear token: %s", token)
       return
   }

  // 校验content type 只接收json
  contentType := r.Header.Get("Content-Type")
  if contentType != "application/json" {
     klog.Errorf("contentType=%s, expect application/json", contentType)
     return
  }

  klog.V(2).Info(fmt.Sprintf("handling request: %s", body))

  // 接收到的AdmissionReview
  requestedAdmissionReview := v1beta1.AdmissionReview{}

  // 用于返回的AdmissionReview
  responseAdmissionReview := v1beta1.AdmissionReview{}

  deserializer := codecs.UniversalDeserializer() //返回runtime.Decoder 用于转换成为k8s的runtime.Object
  if _, _, err := deserializer.Decode(body, nil, &requestedAdmissionReview); err != nil { //将body转换为AdmissionReview
     klog.Error(err)
     responseAdmissionReview.Response = toAdmissionResponse(err) //返回包含错误的AdmissionResponse
  } else {
     klog.Info("s1")
     responseAdmissionReview.Response = admit(requestedAdmissionReview) //通过对应handlefunc处理
  }

  responseAdmissionReview.Response.UID = requestedAdmissionReview.Request.UID //响应 UUID需要同请求UUID相同

  klog.V(2).Info(fmt.Sprintf("sending response: %v", responseAdmissionReview.Response))

  respBytes, err := json.Marshal(responseAdmissionReview) //序列化为JSON
  if err != nil {
     klog.Error(err)
  }
  if _, err := w.Write(respBytes); err != nil {
     klog.Error(err)
  }
}

func serveMutatePods(w http.ResponseWriter, r *http.Request) {
  serve(w, r, mutatePods)
}

func main() {
  klog.InitFlags(nil)
  flag.Parse()
  http.HandleFunc("/mutating-pods", serveMutatePods)
  sCert, err := tls.LoadX509KeyPair("/etc/certs/cert.pem", "/etc/certs/key.pem")
  if err != nil {
     klog.Fatal(err)
  }
  server := &http.Server{
     Addr: ":443",
     TLSConfig: &tls.Config{
        Certificates: []tls.Certificate{sCert},
     },
  }
  server.ListenAndServeTLS("", "")
}

func mutatePods(ar v1beta1.AdmissionReview) *v1beta1.AdmissionResponse {
  klog.V(2).Info("mutating pods")
  podResource := metav1.GroupVersionResource{Group: "", Version: "v1", Resource: "pods"}
  if ar.Request.Resource != podResource { //判断类型是否相同
     klog.Errorf("expect resource to be %s %s", podResource,ar.Request.Resource)
     return nil
  }

  raw := ar.Request.Object.Raw
  pod := corev1.Pod{}
  deserializer := codecs.UniversalDeserializer()
  if _, _, err := deserializer.Decode(raw, nil, &pod); err != nil { //反序列化为pod
     klog.Error(err)
     return toAdmissionResponse(err)
  }
  reviewResponse := v1beta1.AdmissionResponse{}
  reviewResponse.Allowed = true
  klog.Info(reviewResponse)
  annotations:=pod.Annotations

  if annotations==nil {
     annotations = map[string]string{}
  }
  if v,ok:=annotations[injectAnnotation];ok { // 没有或不是true 进行注入
     klog.Info(v)
     if v!="true" {
        reviewResponse.Patch = []byte(fmt.Sprintf("{%s,%s}",podsInjectContainerPatch,updateInjectAnnotationPatch)) //设置patcher
        pt := v1beta1.PatchTypeJSONPatch
        reviewResponse.PatchType = &pt
     }
  }else {
     reviewResponse.Patch = []byte(fmt.Sprintf("[%s,%s]",podsInjectContainerPatch,addInjectAnnotationPatch)) //设置patcher
     pt := v1beta1.PatchTypeJSONPatch
     reviewResponse.PatchType = &pt
  }
  klog.Info(string(reviewResponse.Patch))
  return &reviewResponse
}
rocsdu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes实战(三十二)-Kubeadm 安装 Kubernetes v1.24.0
专注基础架构领域
08-17 355
Kubernetes(简称K8S)是开源的容器集群管理系统,可以实现容器集群的自动化部署、自动扩缩容、维护等功能。它既是一款容器编排工具,也是全新的基于容器技术的分布式架构领先方案。在Docker技术的基础上,为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等功能,提高了大规模容器集群管理的便捷性。K8S集群中有管理节点与工作节点两种类型。管理节点主要负责K8S集群管理,集群中各节点间的信息交互、任务调度,还负责容器、Pod、NameSpaces、PV等生命周期的管理。...
Ingress-nginx-controller:v1.1.2部署实践
叱咤少帅的博客
02-02 327
Ingress-nginx-controller:v1.1.1部署实践
使用 Admission Webhook 机制实现多集群资源配额控制
吉小白的博客
01-12 553
1 要解决的问题 集群分配给多个用户使用时,需要使用配额以限制用户的资源使用,包括 CPU 核数、内存大小、GPU 卡数等,以防止资源被某些用户耗尽,造成不公平的资源分配。 大多数情况下,集群原生的 ResourceQuota 机制可以很好地解决问题。但随着集群规模扩大,以及任务类型的增多,我们对配额管理的规则需要进行调整: ResourceQuota 针对单集群设计,但实际上,开发/生产中经常使用 多集群 环境。 集群大多数任务通过比如deployment、mpijob 等 高级资源对象 进行提交,我们
准入控制器: Admission Webhook
qq_36270681的博客
01-22 1376
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可
快速写一个kubernetes webhook+使用cert-manager实现自动更新证书
最新发布
杆子的博客
06-26 1167
准入程序可以在部署在集群内部,也可以在多集群环境下使用一个准入程序对多个集群进行回调处理,好处就是只需要部署一次,而不用每个集群都部署,但是需要使用kube-client时,需要接入多个集群的kubeconfig,在集群内部部署则只需要配置rbac了;主要作用就是对操作做修改性质的准入,串行操作,不具备明确的顺序,需要注意操作对象的范围,防止出现预期之外的修改操作。内置准入器,默认开启的noderestriction准入器,主要是限制对节点一些标签的修改操作。动态准入器,HTTP回调机制,类似于拦截器。
k8s中Admission webhook
weixin_43114954的博客
10-06 2370
前言 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhookAdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
admission webhooks
qq_34482492的博客
05-02 334
用于准入控制。
Admission Webhook 花式玩法,骚得很
云原生实验室
05-13 447
项目由来使用 kubernetes 的同学可能或多或少会有以下的实际业务或者需求场景:为确保安全性,需要对某些资源进行删除保护,例如不允许删除 namespace、crd 定义等;根据服务画像为不同的服务设置不同的属性,这些属性基本是业务无感的,例如设置不同的超售比、设置不同的 Label 以及调度特性从而实现 io 敏感型与 io 密集型服务的反亲和调度等;针对同一个 ...
一文读懂 SuperEdge 分布式健康检查(云端)
吉小白的博客
03-25 5971
杜杨浩,腾讯云高级工程师,热衷于开源、容器和Kubernetes。目前主要从事镜像仓库、Kubernetes集群高可用&备份还原,以及边缘计算相关研发工作。 前言 SuperEdge分布式健康检查功能由边端的edge-health-daemon以及云端的edge-health-admission组成: edge-health-daemon:对同区域边缘节点执行分布式健康检查,并向apiserver发送健康状态投票结果(给node打annotation) edge-health-admission:
k8s 新版本 部署 Ingress-nginx controller
m0_56069948的博客
04-19 3001
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 k8s 新版本 部署 Ingress-nginx controller 本篇主要记录一下 k8s 新版本 1.23.5 中如何搭建 ingress controller 以及里面的注意项 新版本和老版
K8S集群部署前后端分离的微服务项目
u011663693的博客
06-30 2012
本文记录自己对已有项目的进行容器化的心路历程~
Kubernetes 准入控制器: Admission Webhook
小楼一夜听春雨,深巷明朝卖杏花
07-20 3211
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可以监
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)_ admissionconfiguration
2401_83627805的博客
04-11 792
client-certificate: /etc/kubernetes/image-policy/apiserver-client.pem # webhook准入控制器使用的证书。certificate-authority: /etc/kubernetes/image-policy/webhook.pem # 数字证书,用于验证远程服务。client-key: /etc/kubernetes/image-policy/apiserver-client-key.pem # 对应私钥证书
了解Kubernetes三大门神之一Webhook
happy_85的专栏
07-05 841
Admission Webhook 是提高 Kubernetes 集群安全性的关键组件之一。通过动态审查和修改请求,它可以强制执行安全策略、防止恶意操作,并满足定制化需求。部署 Admission Webhook 需要一些配置和验证步骤,但一旦成功完成,它将为您的 Kubernetes 集群带来更高的安全性和可靠性。
k8s 的admission webhook 部署在集群外,如何创建ssl 文件
Standup-jb的博客
01-18 942
背景 一般情况下,对于webhook服务都是部署在k8s的集群内部的,但是我们这边有需要,需要部署在集群外面的物理机上,但是在MutatingWebhookConfiguration 里面只能配置https,所以需要自己签发证书。整个过程还是踩了坑。把过程记录下来。照着做肯定能成功。 安装cfssl 这个就不放具体的方法了,Google搜索一下。安装后执行一下命令 cfssl version 如果能正常显示如下,就代表安装好了 Version: 1.4.1 Runtime: go1.13.4 使用如下命令
Istio技术与实践03:最佳实践之sidecar自动注入
csdnd2014072811940的博客
08-30 206
Istio 通过对 serviceMesh 中的每个 pod 注入 sidecar ,来实现无侵入式的服务治理能力。其中, sidecar 的注入是其能力实现的重要一环(...
nginx ingress controller 最后的倔强: admission webhook
Qinng的博客
04-07 6264
背景 k8s中大多使用nginx-ingress-controller来实现ingress, 但是脆弱的nginx-controller通过ingress解析出nginx配置, 对于某些annotation会reload nignx配置失败, 然后controller就卡死了, 不断重启, 除非删除对应的ingress. 问题复现 创建有问题的ingress apiVersion: extensi...
Kubernetes Admission Webhook Validating 与 mutating 实践
爱死亡机器人
01-06 3517
以非root运行pod 需求 Kubernetes 的很多默认设置是为了便于使用,有时它们会牺牲一定的安全性。因为按照默认设置,容器一般是以 root 身份运行的(即便没有进一步配置,Dockerfile 中也没有指令)。 尽管容器在一定程度上与底层主机隔离,但这样确实会增加部署风险,比如去年曝光的 runC 漏洞(CVE-2019-5736),它被利用的原因之一就是容器内进程都是以 root 权限运行的。 下面我们以这个问题为例,一起利用准入控制器 webhook 建立自定义安全策略。 为了解决上述问题,
k8s查看Admission webhook
05-31
要查看Kubernetes中的Admission Webhook,可以使用以下命令: ``` kubectl get validatingwebhookconfigurations ``` 该命令将列出所有可用的验证Webhook配置。如果要查看特定验证Webhook配置的详细信息,可以使用以下命令: ``` kubectl describe validatingwebhookconfigurations <webhook-configuration-name> ``` 其中,`<webhook-configuration-name>`是您要查看的验证Webhook配置的名称。您还可以使用类似的命令查看准入Webhook配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值