【Kubernetes】基于SpringBoot的Mutating Admission Webhook Server实现

已于 2022-01-21 15:53:17 修改
阅读量1.1k 收藏 3
点赞数
分类专栏: Kubernetes 文章标签: kubernetes spring boot java
于 2020-05-04 19:44:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yr12Dong/article/details/105921414
版权
  1. 背景
  2. 注意事项
  3. 思路
  4. 过程
  5. 2022/01/21 更新 toAdmissionReview方法

背景

公司内网的Kubernetes集群因为Istio sidecar的原因,经常会达到公司运维给我们组设置的资源上限。一个我们的业务服务通常由两部分容器组成,一个是我们真实对外服务的容器,另一个则是由Istio sidecar inject也就是Istio框架自动注入的Istio-sidecar。不提我们的业务容器,只针对Istio sidecar,他的resource/limit/cpu就被设置为了2,要知道我们组所属的namespace下,资源limit上限被设置为了100cpu,超过100之后服务就无法被部署成功。同时,作为一个内网的服务,他的上限也根本不用2,这一个较高的数字。

在Istio后续的1.4版本中,有一个专门为Pod.spec.resource.cpu.limit和memory设置的注解,但是在之前的版本中不提供这样的支持,所以只能通过我们自己来实现。最简单的方法自然是为每一个环境(内网或者外网)做一份不同的设置,考虑到我们服务过于多,一个一个添加不大科学,也不符合k8s不影响到业务集成过程的理念。综上所述,最终考虑到k8s原生支持的Mutating Admission Webhook来实现。

Mutating Admission Webhook对我而言,简而言之,就是Kube-api 在执行真正的部署命令之前,提前对你要部署的东西做一个修改。Istio的Istio sidecar injector也是通过这个来实现的。那对我来说,只要在Istio sidecar injector注入sider,也就是他对Pod做完修改之后,我在将他的istio proxy中的container.resource.cpu.limit修改为我要的值就好了。

在google和github上搜索一番,基本都是基于Go语言来实现Admission Webhook Server,没有发现有Java实现的,所以打算自己动手实现一个。

注意事项

  • 第一次搞Mutating Webhook Admission Webhook,可以将在Pod中注入一个新的Label作为成功标准
  • 接上条,可以把Webhook Admission Webhook Configuration中的failPolicy设置为Fail,即在Server端中有意外情况,算作失败,这样可以在Replicas看到部署失败的原因

思路

从官方文档上来说,比较关键的东西有三个

  1. Mutating Admission Webhook Configuration,一份Webhook的配置文件,他决定谁会被拦截,和将请求转发到那里去
  2. Mutating Admission Webhook Server,在本文中专指Springboot 实现的一个Server,他的作用是怎么修改即将要被部署的kubernetes 资源
  3. 请求,也就是第一点提供到谁会被拦截到的谁,一般来说是指某一个被打了特定label的namespace
    比较琐碎的细节,包括但不限于Kube-api 里面是否开启了admission webhook的限制,configuration和server的证书配置,server端要求返回的格式

过程

几个关键节点大概分为这几个历程

  1. Object生成请求拦截(这里就是Pod生成之前会给我们的server发消息)
  2. RequestBody 反序列化 (可以看到我们的server接收到k8s发来的消息是什么样子的)
  3. 尝试修改pod参数 (尝试修改一下pod的label)
  4. 尝试修改 istio-proxy resource参数

在第一个关键节点上我们理论上就应该完成大部分的工作,后面的过程是在做细节上的处理。

我的Configuration文件是这个样子的

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
  name: mutateme
  labels:
    app: mutateme
webhooks:
###name 要求是以域名的形式出现 所以设置为 12Dong-qwer是不行的
  - name: mutateme.i18n-system.svc.cluster.local
    clientConfig:
     #这一张证书要求从k8s集群内部取 取法可以看这篇教程中 https://medium.com/ovni/writing-a-very-basic-kubernetes-mutating-admission-webhook-398dbbcb63ec 中的 kubectl config view --raw --minify --flatten -o jsonpath='{.clusters[].cluster.certificate-authority-data}' 这个命令
      caBundle: "12Dong*****"
      service:
        #请求转发到Server 也就是我们的Springboot Server
        name: auto-fill-annotation
        namespace: i18n-system
        #对应的路径名是一个Post请求
        path: "/mutate"  
    rules:
      #什么样的请求会被拦截到 我这里设置的是当有Pod生成时,部署好之后 可以用kubectl apply 命令生成一个即可测验
      - operations: ["CREATE"]
        apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["pods"]
    namespaceSelector:
      matchLabels:
        mutateme: enabled

比较需要注意的,以这样的格式默认生成的是一个FailPolicy是Ignore的Webhook Configuration就是指,如果Server出了问题,他会选择无视当作无事发生处理。建议第一次使用时,手动修改为Fail。这样可以在相应的位置看到报错
在这里插入图片描述
比如说这样 在Replicaset中我看到报错的原因
把他apply到我们的集群中,开始处理下一步Server端的代码

Server端的代码配置流程有三步
第一步,开启服务内部的Https 这个可以参照SpringBoot的官方文档来做
springboot服务开启https配置

第二部,将证书的相关信息将k8s集群中注册,否则就会出现这样的报错。这里可以参照我之前的笔记来处理
在这里插入图片描述
第三步,根据Configuration的信息写一个Post请求的接口

    @PostMapping(value = "/mutate")
    public AdmissionReview autoFillAnnotation(@RequestBody AdmissionReview admissionReview) {
        //check istio proxy exist
        final AdmissionRequest request = admissionReview.getRequest();
        log.info("{} has been intercepted, webhook server is invoked", request.getObject().getMetadata().getGenerateName());
        try{
            final String json = MAPPER.writeValueAsString(request.getObject());
            final Pod pod = MAPPER.readValue(json, Pod.class);
            if (!checkIstioProxyExist(pod)) {
                return toAdmissionReview(admissionReview, null);
            }
        }catch(Exception e){
            log.error("Fail to check istio proxy exist because {}", e);
            return toAdmissionReview(admissionReview, null);
        }
        //make response
        JsonPatch[] jsonPatches = new JsonPatch[1];
        JsonPatch update = new JsonPatch();
        update.setOp("replace");
        update.setPath("/spec/containers/1/resources/limits/cpu");
        update.setValue("500m");
        jsonPatches[0] = update;

        String patch = null;

        try{
            String json = MAPPER.writeValueAsString(jsonPatches);
            patch = Base64.getEncoder().encodeToString(json.getBytes());
        } catch(Exception e){
            log.error("{} fail to make patch because {}", request.getObject().getMetadata().getGenerateName(), e);
        }

        return toAdmissionReview(admissionReview, patch);
    }

处理之后,把AdmissionReview 打印出来,再将Springboot打包上线,进行测试。

第一个关键节点,就完成了

第二关键节点需要注意的就是在我所使用的包中,直接获取反序列的信息时,不能直接Get到他的Spec属性,这个Spec属性使用了Interface来实现,所以我将其特化为了对应的Pod类,之后就能获取Spec属性字段了。

第三、四个关键节点中,涉及到JsonPatch的使用,可以看官方文档,Json对象中有数组对象的话,我粗粗翻了一遍没有讲解怎么做,所以在查了一下,需要在数组对应的字段名后使用/num的方式指定对数组成员的第几个做修改,我这边因为Istio-sidercar固定是第二个所以我要修改istio-sidecar的resource.cpu.limit属性的话,就是 /spec/containers/1/resources/limits/cpu

到这里大致的流程已经比较详细的讲完了,因为是公司的项目所以不能吧代码直接放到github上给大家参考。
每个人碰上的问题可能大概不同,问题的思路也可能大不相同,希望大家能通过FailPolicy来查看为什么自己的代码不能成功的原因,从而推导出正确的做法。

2022/01/21 更新 toAdmissionReview方法 

    private AdmissionReview toAdmissionReview(final AdmissionReview requestBody, final String patch) {
        final AdmissionReview admissionReview = new AdmissionReview();
        admissionReview.setKind(requestBody.getKind());
        admissionReview.setApiVersion(requestBody.getApiVersion());
        final AdmissionResponse admissionResponse = new AdmissionResponse();
        admissionResponse.setAllowed(true);
        admissionResponse.setUid(requestBody.getRequest().getUid());
        admissionReview.setResponse(admissionResponse);
        if (patch == null) {
            return admissionReview;
        } else {
            admissionResponse.setPatch(patch);
            admissionResponse.setPatchType("JSONPatch");
            return admissionReview;
        }
    }
12Dong
关注
专栏目录
Kubernetes开发(6)-MutatingAdmissionWebhook练手
zyxpaomian的博客
06-01 1172
之前写了一个简单的webhook 的tls server,并且写了一个简单的validate的api 用于实现资源的拦截。之前有提到webhook有两类,第二类就是mutatingadmissionwebhook,即对资源进行修改,仔细想想不会太意外,比如istio本质上不就是mutatingadmissionwebhook么,在启动的时候直接sidecar方式插入一个container,然后通过该container进行各类服务收集/治理,那练手的话可以自己插入一个redis 容器,模拟istio的side
K8S基于MutatingAdmissionWebhook实现资源超卖
rootlh的博客
03-22 7241
K8S基于MutatingAdmissionWebhook解决资源超卖问题资源超卖问题分析实现资源超卖的思路MutatingAdmissionWebhook特性MutatingWebhookConfiguration对象简介源码分析资源超卖算法实践参考资料 资源超卖问题分析 在生产环境中,kubernetes集群的计算节点上运行着许许多多的Pod,分别跑着各种业务容器,我们通常用Deploymen...
java springBoot对接shopify webhook http
最新发布
Dgx的博客
08-19 397
最近在用java springboot 对接 shopify api ,需要用到 webhook的功能,因为官方文档好像没有java实现,然后百度了一些文章,基本都是将一些概念,并没有实际的实现细节,也花了点时间才整明白,所以记录一下。
github-webhook-server:Github Webhook服务器
05-10
Github Webhook服务器 Github Webhook服务器。 安装 $ git clone https://github.com/kgryte/github-webhook-server.git 该应用程序在Node.js上运行。 在运行应用程序之前,通过执行以下命令来安装依赖项 $ make install 快速开始 启动应用程序服务器 $ npm start -- --secret < secret> --hook < module> 或者,从顶级应用程序目录 $ node ./bin/cli --secret < secret> --hook < module> | ./node_modules/.bin/bunyan 默认服务器port为0 ,在这种情况下,该端口在运行时随机分配。 要确定运行时port ,请参阅日志输出。 例如, [2015-04
webhook-server:Github WebHook 自动化部署工具
06-29
Github 自动项目更新工具 Usage (单一用作Github自动更新工具) 则运行 npm install webhook-server --save-dev screen cd node_modules/webhook-server npm start 然后关掉ssh远程命令行。 如果是想在Linux上长期挂着的话, 可以使用screen命令 具体内容就百度搜吧。 很容易的→_→ 更新的所有细节都会写入到项目目录下的log文件夹内。 作为Node 中间件 内置的hander.js 可以作为处理Webhook的中间件, 它暴露于一个接口, 同时也需要传进一个参数 var createHandler = require('./hander'); var handler = createHandler({ path : "/webhook" , 'secret' : "Enter you
使用 Admission Webhook 机制实现多集群资源配额控制
吉小白的博客
01-12 568
1 要解决的问题 集群分配给多个用户使用时,需要使用配额以限制用户的资源使用,包括 CPU 核数、内存大小、GPU 卡数等,以防止资源被某些用户耗尽,造成不公平的资源分配。 大多数情况下,集群原生的 ResourceQuota 机制可以很好地解决问题。但随着集群规模扩大,以及任务类型的增多,我们对配额管理的规则需要进行调整: ResourceQuota 针对单集群设计,但实际上,开发/生产中经常使用 多集群 环境。 集群大多数任务通过比如deployment、mpijob 等 高级资源对象 进行提交,我们
Kubernetes Admission Webhook在prometheus-operator中的使用
以简为道
12-21 1427
Admission Webhook概览 Kubernetes Admission Webhook机制作为API Server的扩展机制,可以用来灵活地在对API Server对象进行写操作时实现对象统一修改和检验等功能,详细的功能介绍可以参见官方文档。当客户端连接API Server更改对象时,会经过下图所示的过程。 总得来说,有两种Admission Webhook: Mutating ...
kube-apiserver源码-动态准入控制 admission webhook
u014152978的博客
07-06 1599
动态配置admission webhook举例(详情见官方文档:https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/): apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingWebhookConfiguration metadata: name: "pod-policy.example.com" web
webhook-server:通过 http 调用在您的服务器上触发程序脚本执行。 附带调度程序、模板和 Github 的 CI 支持
05-30
网络钩子服务器 这个小帮手有一个简单的目的:对传入的 http 请求在您的服务器上执行命令。 最初,它是为持续集成而设计的,并且开箱即用地支持 Github 的 webhooks。 到现在为止,Webhook-Server 还带有自定义调度程序。 默认情况下,调度程序会阻止并行部署和不必要的部署执行。 但是,如果您想将许多并行负载繁重的长时间运行任务排队,它允许您为每种类型指定并发任务的数量,以防止系统负担过重。 任务可以并行或一对一处理,可以根据 webhook 类型配置执行模式和并行进程数量。 示例应用程序: 项目的持续集成(支持 Github 的 webhooks)。 按需执行并行负载繁重的任务。 通过浏览器在您的服务器上触发任务。 以最少的设置在服务器之间触发任务。 看一下示例配置文件 。 安装 拱形Linux: 只需使用任何包管理器安装它,例如yay -S web
webhook-server:我们用来处理来自各种服务的入网钩子的快递服务器
04-30
Dank Memer的Webhook服务器 这是我们用来处理各种服务传入的Webhooks的快速服务器。 入门 这些说明将为您提供在本地计算机上运行并运行的项目的副本,以进行开发和测试。 先决条件 Node.js v8.xx或更高版本 重新思考数据库 正在安装 git clone https://github.com/DankMemer/webhook-server.git 创建config.json npm i 运行rethinkdb 使用node server.js运行服务器(可选使用pm2) 利润 建于 -JavaScript运行时 - 数据库 用于node.js的Web框架 作者 悖论-初始工作 另请参阅参与此项目的列表。 执照 此项目已获得MIT许可证的许可-有关详细信息,请参阅文件。 致谢 最终有东西会去这里吗?
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
k8s Webhook 使用java springboot实现webhook 学习总结
liuyij3430448的博客
07-27 4208
kubernetes利用webhook可以实现类似Java Web Filter的功能,拦截对资源的操作请求。 将操作**增强**或者**拦截验证** 创建一个Pod,可以对这个操作添加额外的配置,比如添加标签,添加容器,添加挂载等,或者验证Pod操作是不是满足某些要求,不满足则不执行等
推荐一个强大的Laravel Webhook管理工具:laravel-webhook-server
gitblog_00079的博客
05-17 317
推荐一个强大的Laravel Webhook管理工具:laravel-webhook-server laravel-webhook-serverSend webhooks from Laravel apps项目地址:https://gitcode.com/gh_mirrors/la/laravel-webhook-server Webhook是一种应用程序间通信的实用方式,通过HTTP请求传递信...
webhook自定义服务器,webhook - 允许用户创建HTTP端点(钩)的工具来在服务器上执行命令...
weixin_30853033的博客
07-29 758
What is webhook? webhook is a lightweight configurable tool written in Go, that allows you to easily create HTTP endpoints (hooks) on your server, which you can use to execute configured commands. You...
[简单便捷]springboot整合企业微信webhook快速发送消息提醒
swalikh的博客
09-18 5323
企业微信webhook发送工具包(wework webhook robot) a java SDK for wework webhook robot github项目地址 介绍(introduction) 本人前端时间做后台提醒功能,需要用到企业微信webhook机器人发送各种消息。很多参数拼接搞得焦头烂额。干脆写了一个工具包。有需要就可以和spring快速集成。配置好webhook地址之后就可以快速方便发送消息,摒弃了各种参数的拼接。 现在已经支持: 文本消息 图片消息 文本卡片消息 图文消息(批量)
webserverwebhook机制
09-05 358
什么是 webserver(像一个webapi接口,但又不仅仅是web接口) 1,你要从别的网站或服务器上获取资源或信息,别人肯定不会把数据库共享给你,只能给你提供一个他们写好的方法来获取数据,你引用他提供的接口就能使用他写好的方法,从而达到数据共享的目的。 2, python 开发一台软件,java开发另一台软件,如何让java获取python的信息呢? 我们可以让pyth...
【Unity】在Unity下使用websocket的一些经验
好吃的和好看的都需要用实力来争取
05-08 3266
webSocket是什么:1、WebSocket是一种在单个TCP连接上进行全双工通信的协议2、WebSocket使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据3、在WebSocket API中,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持久性的连接,并进行双向数据传输4、需要安装第三方包:cmd中:go get -u -v(我这里使用的是WebSocketSharp库,一个很简单的dll文件)
Kubernetes 准入控制器: Admission Webhook
小楼一夜听春雨,深巷明朝卖杏花
07-20 3257
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可以监
k8s中webhook
07-28
Kubernetes中有两种类型的WebhookAdmission WebhookMutating WebhookAdmission Webhook用于在Kubernetes API服务器接收到请求并在将其持久化之前对其进行修改或验证。它可以用于强制实施自定义策略、验证...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值