使用 Admission Webhook 机制实现多集群资源配额控制

最新推荐文章于 2023-08-06 16:00:25 发布
最新推荐文章于 2023-08-06 16:00:25 发布
阅读量548 收藏
点赞数
文章标签: 多集群 Admission Webhook kubernetes 资源配额控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunxiao6/article/details/112506953
版权

1 要解决的问题

集群分配给多个用户使用时,需要使用配额以限制用户的资源使用,包括 CPU 核数、内存大小、GPU 卡数等,以防止资源被某些用户耗尽,造成不公平的资源分配。

大多数情况下,集群原生的 ResourceQuota 机制可以很好地解决问题。但随着集群规模扩大,以及任务类型的增多,我们对配额管理的规则需要进行调整:

  • ResourceQuota 针对单集群设计,但实际上,开发/生产中经常使用 多集群 环境。
  • 集群大多数任务通过比如deploymentmpijob高级资源对象 进行提交,我们希望在高级资源对象的 提交阶段 就能对配额进行判断。但 ResourceQuota 计算资源请求时以 pod 为粒度,从而无法满足此需求。

基于以上问题,我们需要自行进行配额管理。而 Kubernetes 提供了动态准入的机制,允许我们编写自定义的插件,以实现请求的准入。我们的配额管理方案,就以此入手。

2 集群动态准入原理

进入 K8s 集群的请求,被 API server 接收后,会经过如下几个顺序执行的阶段:

  1. 认证/鉴权
  2. 准入控制(变更)
  3. 格式验证
  4. 准入控制(验证)
  5. 持久化

请求在上述前四个阶段都会被相应处理,并且依次被判断是否允许通过。各个阶段都通过后,才能够被持久化,即存入到 etcd 数据库中,从而变为一次成功的请求。其中,在 准入控制(变更) 阶段,mutating admission webhook 会被调用,可以修改请求中的内容。而在 准入控制(验证) 阶段,validating admission webhook 会被调用,可以校验请求内容是否符合某些要求,从而决定是否允许或拒绝该请求。而这些 webhook 支持扩展,可以被独立地开发和部署到集群中。

虽然,在 准入控制(变更) 阶段,webhook也可以检查和拒绝请求,但其被调用的次序无法保证,无法限制其它 webhook 对请求的资源进行修改。因此,我们部署用于配额校验的 validating admission webhook,配置于 准入控制(验证) 阶段调用,进行请求资源的检查,就可以实现资源配额管理的目的。

3 方案

3.1 如何在集群中部署校验服务

在 K8s 集群中使用自定义的 validating admission webhook 需要部署:

  1. ValidatingWebhookConfiguration 配置(需要集群启用 ValidatingAdmissionWebhook) ,用于定义要对何种资源对象(pod, deployment, mpijob 等)进行校验,并提供用于实际处理校验的服务回调地址。推荐使用在集群内配置 Service 的方式来提供校验服务的地址。
  2. 实际处理校验的服务,通过在 ValidatingWebhookConfiguration 配置的地址可访问即可。

单集群环境中,将校验服务以 deployment 的方式在集群中部署。多集群环境中,可以选择:

  1. 使用 virtual kubelet,cluster federation 等方案将多集群合并为单集群,从而退化为采用单集群方案部署。
  2. 将校验服务以 deloyment 的方式部署于一个或多个集群中,但要注意保证服务到各个集群网络连通。

需要注意的是,不论是单集群还是多集群的环境中,处理校验的服务都需要进行资源监控,这一般由单点实现。因此都需要 进行选主。

3.2 如何实现校验服务

3.2.1 校验服务架构设计
3.2.1.1 基本组件构成

  • API server:集群请求入口,调用 validating admission webhook 以验证请求
  • API:准入服务接口,使用集群约定的 AdmissionReview 数据结构作为请求和返回
  • Quota usage service:请求资源使用量接口
  • Admissions:准入服务实现,包括 deploymentmpijob 等不同资源类型准入
  • Resource validator
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
lxcfs-admission-webhook
05-25
LXCFS的Kubernetes准入Webhook 该项目显示了如何为构建和部署 。先决条件Kubernetes 1.9.0或以上与admissionregistration.k8s.io/v1beta1 API启用。 通过以下命令进行验证: kubectl api-versions | grep ...
k8s中Admission webhook
weixin_43114954的博客
10-06 2339
前言 Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhookAdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
了解Kubernetes三大门神之一Webhook
happy_85的专栏
07-05 794
Admission Webhook 是提高 Kubernetes 集群安全性的关键组件之一。通过动态审查和修改请求,它可以强制执行安全策略、防止恶意操作,并满足定制化需求。部署 Admission Webhook 需要一些配置和验证步骤,但一旦成功完成,它将为您的 Kubernetes 集群带来更高的安全性和可靠性。
准入控制器: Admission Webhook
qq_36270681的博客
01-22 1371
Admission Webhook:准入控制Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可
Admission Webhook 花式玩法,骚得很
云原生实验室
05-13 437
项目由来使用 kubernetes 的同学可能或多或少会有以下的实际业务或者需求场景:为确保安全性,需要对某些资源进行删除保护,例如不允许删除 namespace、crd 定义等;根据服务画像为不同的服务设置不同的属性,这些属性基本是业务无感的,例如设置不同的超售比、设置不同的 Label 以及调度特性从而实现 io 敏感型与 io 密集型服务的反亲和调度等;针对同一个 ...
Kubernetes 准入控制器: Admission Webhook
小楼一夜听春雨,深巷明朝卖杏花
07-20 3173
Admission Webhook:准入控制Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可以监
tugger:Kubernetes Admission Webhook强制从私有注册表中提取Docker映像
04-02
另外,应该添加MutatingAdmissionWebhook和ValidatingAdmissionWebhook接纳控制器,并以正确的顺序在kube-apiserver的接纳控制标志中列出。 构建并推送Tugger Docker映像 # Build docker image do
admission-controller-webhook-demo:Kubernetes接纳控制Webhook示例
05-01
Kubernetes Admission Controller Webhook演示这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份...
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入Webhook 该Kubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
FAST:用于MANET的基于模糊决策的资源准入控制机制
03-01
本文将资源接纳控制技术与智能方法相结合,提出了一种基于模糊决策的MANETs资源接纳控制机制(FAST),该机制可以快速响应动态拓扑变化和不稳定的链路状态。 FAST还支持多播和目标异构性。 用户可以在模糊决策中...
admission webhooks
qq_34482492的博客
05-02 312
用于准入控制
深入理解AdmissionWebhook 1
yevvzi的博客
10-25 1524
简介 Admission webhooks 是接收准入请求http回调并且进行处理,分为两种类型: validating admission Webhook mutating admission webhook mutating admission webhook 先于validating admission Webhook被调用,可以由mutating admission ...
Kubernetes Admission Webhook Validating 与 mutating 实践
爱死亡机器人
01-06 3441
以非root运行pod 需求 Kubernetes 的很多默认设置是为了便于使用,有时它们会牺牲一定的安全性。因为按照默认设置,容器一般是以 root 身份运行的(即便没有进一步配置,Dockerfile 中也没有指令)。 尽管容器在一定程度上与底层主机隔离,但这样确实会增加部署风险,比如去年曝光的 runC 漏洞(CVE-2019-5736),它被利用的原因之一就是容器内进程都是以 root 权限运行的。 下面我们以这个问题为例,一起利用准入控制webhook 建立自定义安全策略。 为了解决上述问题,
k8s准入控制Admission Webhook研究
最新发布
weixin_47575974的博客
08-06 1185
k8s准入控制Admission Webhook研究
k8s Webhook 准入控制应用实践
爱死亡机器人
01-06 1798
背景 除了内置的 admission 插件, 准入插件可以作为扩展独立开发,并以运行时所配置的 Webhook 的形式运行。 此页面描述了如何构建、配置、使用和监视准入 Webhook 什么是准入 Webhook? 准入 Webhook 是一种用于接收准入请求并对其进行处理的 HTTP 回调机制。 可以定义两种类型的准入 webhook,即 验证性质的准入 Webhook 和 修改性质的准入 Webhook。 修改性质的准入 Webhook 会先被调用。它们可以更改发送到 API 服务器的对象以执行自定义的
create Pod mysql-test-slave-1-0 in StatefulSet mysql-test-slave-1 failed error: admission webhook "resourcesquotas.quota.kubesph
weixin_35750747的博客
01-10 694
这个错误信息表明,在 StatefulSet 中创建 Pod "mysql-test-slave-1-0" 时被 admission webhook "resourcesquotas.quota.kubesphere.io" 拒绝了请求,原因是 Pod "mysql-test-slave-1-0" 被禁止,因为超出了配额使用的 limits.memory=24776Mi, requests....
探秘腾讯云的资源分配机制
tengxy_cloud的专栏
08-07 5852
1. 这里是QCon上海2013采访间,我们现在非常高兴的请到了腾讯云的负责人陈磊先生。 陈磊:非常高兴能够有机会在这跟InfoQ的朋友们进行对话,感谢大家的关注。     2. 最近腾讯云做了一个非常大的上线活动,然后大家都很关注。那么很多人都问一个非常关键的问题,就是腾讯云,腾讯自己到底是怎么用的?腾讯到底有哪些业务跑在了腾讯云上?这些业务运行的情况到底是个什么样的状况?我们
Kubernetes ImagePolicyWebhook与ValidatingAdmissionWebhook【2】Image_Policy.go源码解析
爱死亡机器人
08-20 629
对于运维人员来说,如何读懂开发写源代码是很痛苦。往往不知如何去理解才好。没有思路,一个接一个的包的各种接口、方法、函数把你搞的晕头转向。 源代码地址:https://github.com/kainlite/kube-image-bouncer **那么,我们从输出的报错信息出发,逆向推理源代码的逻辑。**也许会是个不错的 原则。 ImagePolicyWebhook 检验效果的报错信息 $ kubectl describe rc nginx-latest #警告不允许有latest标签的镜像 Warn
Kubernetes ImagePolicyWebhook与ValidatingAdmissionWebhook【4】main.go源码解析
爱死亡机器人
08-29 388
包的依赖 go fmt包详解 go os包文件操作详解 go strings包详解 echo包详解 main.go 首先我们了解一下依赖包的各个用途。 import ( "fmt" //打印输出 "os" //系统管理 "strings" //字符串管理 "github.com/labstack/echo" //可扩展,轻量级的web框架 "github.com/labstack/echo/middleware" //echo web框架中间件 "github.com/labst
k8s查看Admission webhook
05-31
要查看Kubernetes中的Admission Webhook,可以使用以下命令: ``` kubectl get validatingwebhookconfigurations ``` 该命令将列出所有可用的验证Webhook配置。如果要查看特定验证Webhook配置的详细信息,可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值