【kubernetes/k8s概念】kube-apiserver admission webhook

最新推荐文章于 2024-05-08 02:10:49 发布
最新推荐文章于 2024-05-08 02:10:49 发布
阅读量7.4k 收藏 5
点赞数 2
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhonglinzhang/article/details/94552944
版权

WHY

    在 Kubernetes 中还有 authn/authz,为什么还会引入 admission 这种机制?

    认证鉴权运行在 filter 中,只能获取 http 请求 header 以及证书,并不能获取请求的 body。所以 authn/authz 只能对客户端进行认证和鉴权,不可以对请求的对象进行任何操作

   Admission 运行在 API Server 的增删改查 handler 中,可以操作 API resource

 

      目前 Kubernetes 中有非常多的 Admission 插件, 但并不能保证满足所有的需求。 Kbernetes 可扩展能力功不可没。Admission 也提供了一种 webhook 的扩展机制。

 

WHAT

    Admission Controller(准入控制)是 Kubernetes API Server 用于拦截请求的一种手段。Admission可以做到对请求的资源对象进行校验,修改。

   

  • MutatingAdmissionWebhook:在对象持久化之前进行修改
  • ValidatingAdmissionWebhook:在对象持久化之前进行

 

     引入网上的流程:Admission Controller 工作流程

  •  API Server 接收到客户端请求后首先进行认证鉴权,认证鉴权后才会进行 endpoint handler 处理
  • 当API Server 接收到对象后根据 http 的路径可以得到版本号,然后将 body 反序列化成 versioned object
  • versioned object 转化为 internal object,即没有版本的内部类型,这种资源类型是所有 versioned 类型的超集。只有转化为 internal 后才能适配所有的客户端 versioned object 的校验
  • Admission Controller 具体的 admit 操作,可以通过这里修改资源对象,例如为 Pod 挂载一个默认的 Service Account 等
  • API Server internal object validation,校验某个资源对象数据和格式是否合法,例如:Service Name 的字符个数不能超过63等
  • Admission Controller validate,可以自定义任何的对象校验规则
  • internal object 转化为 versioned object,并且持久化存储到 etcd

 

HOW

     Kubernetes 1.10之前的版本,--admission-control 打开 Admission Controller。同时--admission-control 的顺序决定 Admission 运行的先后

    Kubernetes 1.10之后的版本,--admission-control 已经废弃,建议使用 --enable-admission-plugins --disable-admission-plugins 指定需要打开或者关闭的 Admission Controller。 同时用户指定的顺序并不影响实际 Admission Controllers 的执行顺序

 --enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,Priority,ResourceQuota,PodSecurityPolicy   

      Webhook Admission 属于同步调用,需要部署自己的 webhook server,创建自定义的配置资源对象: ValidatingWebhookConfiguration 或 MutatingWebhookConfiguration

# kubectl api-resources | grep webhook
mutatingwebhookconfigurations                  admissionregistration.k8s.io   false        MutatingWebhookConfiguration
validatingwebhookconfigurations                admissionregistration.k8s.io   false        ValidatingWebhookConfiguration

  admissionregistration.k8s.io/v1beta1 API enable 状态

# kubectl api-versions | grep admissionregistration.k8s.io/v1beta1
admissionregistration.k8s.io/v1beta1

 

HOW 部署 

 

 定义 ValidatingWebhookConfiguration 或者 MutatingWebhookConfiguration

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
  name: <name>
  labels:
    app: <label>
webhooks:
  - name: <webhook name, e.g., pod-policy.example.io>  逗号分割,限制必须三段
    clientConfig:
      service:
        namespace: <namespace of the front-end service>
        name: <name of the front-end service>
      caBundle: <pem encoded ca cert that signs the server cert used by the webhook>
    rules:
      - operations: [ "CREATE" ]
        apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["pods"]
    namespaceSelector:
      matchLabels:
        <key>: <value>

 

      创建自己的 webhook 程序流程

  • 创建TLS Certificate,即证书
  • 编写服务端代码,服务端代码需要使用证书
  • 根据证书创建k8s sercret
  • 创建k8s Deployment和Service
  • 创建k8s WebhookConfiguration,其中需要使用之前创建的证书

 

参考:

张忠琳
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S------kube-apiserver Webhook令牌 客户端认证
qq_41768644的博客
09-14 288
k8s webhook 认证逻辑
k8s.gcr.io/kube-apiserver:v1.17.3镜像包
03-06
kubernetesk8s.gcr.io/kube-apiserver:v1.17.3镜像包,版本为v1.17.3。文件是kube-controller-manager_v_1_17.3.tar
Kubernetes APIServer 认证 基于Webhook的认证服务集成
小楼一夜听春雨,深巷明朝卖杏花
07-12 735
之前我们学习了kubernetes有哪些认证插件,通过几个简单的最基础的认证方式,包括静态token,包括x509,包括serviceaccount,理解了认证插件是如何运作的。如果要将一个k8s集群落地到你的企业,要做生产化运维的时候,你往往要做的的第一步就是和企业内部的认证平台去做集成。如果只是小的集群,只有几个人使用,那么是没有必要的,因为k8s本身是开放式的平台,一般落地生产集群的时候,可以通过一些机制把它构建为多租户的平台,可以让企业用户都来使用这个平台。可以通过和认证集成,通过权限控制,通过配额
k8s学习-kubectl命令常用选项详解与实战_validatingwebhookconfiguration(2)
最新发布
2401_84281698的博客
05-08 409
外链图片转存中…(img-XIOA207o-1715105437932)][外链图片转存中…(img-3ISzVAfL-1715105437933)][外链图片转存中…(img-vx70MY0m-1715105437933)][外链图片转存中…(img-VJnORnfw-1715105437934)][外链图片转存中…(img-snC3pVSk-1715105437935)][外链图片转存中…(img-SvYzzorx-1715105437935)]
k8s APIServer调用webhook需要域名解析吗?
技术宅,专注云原生、Go、Linux、Java等技术分享,原创文章、效率工具、实战解决方案!关注我,了解互联网动态,学 IT 不迷路
07-12 721
APIServer webhook调用时,可以直接获取webhook podip地址,而不需要去coredns做解析,这在一定程度上做到解耦合(不依赖coredns)。 其实不止webhookAPIService(聚合API)也遵循上面的过程。 即使APIServer为静态Pod方式,由kubelet管理,创建出来的mirror Pod的spec.dnsPolicy依然为ClusterFirst,而Pod为hostNetwork网络,即Pod中的resolv.conf继承自主机,不经coredns解析
k8sAdmission webhook
weixin_43114954的博客
10-06 2338
前言 KubernetesAPI 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。 本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhookAdmissionWebhook 我们知道k8s在各个方面都具备可扩展性,
KubeApiserver源码分析
a1023934860的博客
05-24 319
KubeApiserver流程分析 kube-apiserver底层原理使用go-restful框架对路径进行映射,然后通过etcd客户端对etcd进行请求。 我们需要注意kube-apiserver的几个功能:TLS认证、权限验证、webhookkube-apiserver使用http2.0作为传输协议所以对请求进行采用TLS认证,在认证完成后会通过类似于过滤链的形式对请求进行调用。 接下来让我们先看一下kube-apiserver是如何创建go-restful以及添加资源映射的。 //创建go-re
k8s.gcr.io/kube-apiserver:v1.12.2
11-01
使用方法请关注blog: https://blog.csdn.net/wenwst docker load < kube-apiserver.v1.12.2.tar docker tag 51a9c329b7c5 k8s.gcr.io/kube-apiserver:v1.12.2
k8s.gcr.io/kube-state-metrics/kube-state-metrics:v2.3.0镜像
04-15
docker load -i kube-state-metrics-v2.3.0.tar.gz 上传
k8s.gcr.io/kube-state-metrics/kube-state-metrics:v2.4.2镜像
05-22
docker load -i kube-state-metrics-v2.4.2.tar.gz docker images|grep k8s.gcr.io/kube-state-metrics/kube-state-metrics
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
10-16
gcr.io/kubebuilder/kube-rbac-proxy:v0.13.0 镜像
k8s删除deployment_使用 minukube 部署 kubernetes admission webhook实现etcd pod安全删除
weixin_39942400的博客
11-23 248
点击上方蓝字关注我们本需求来自于一道面试题?(本环境使用 centos 7)最好使用阿里云 ec2 服务器安装 minikube,若使用本地 pc 的 vmware 可能会出现网络方面的问题。使用如下命令安装 minikube,参见 install minikube(http://dwz.date/b5GX)#curl -Lo minikube https://storage.goo...
集群资源清单(YAML)文件
weixin_45993951的博客
08-09 177
示例 [root@k8s-master ~]# vim hello.yml --- apiVersion: v1 kind: Pod metadata: name: pod-demo spec: containers: - name: hello image: daocloud.io/library/centos:7 command: ["/bin/echo","hello","world"] [root@k8s-master ~]# kubectl apply -f he
Kubernetes 安全权限管理深度剖析
liuzhen007的专栏
04-15 1415
Kubernetes 作为当下应用最普遍的容器集群管理工具,详细了解它的认证鉴权机制是非常有必要的。本文的主要内容就是增进大家对k8s的认证和鉴权模块的了解,其中包括kubernetes准入控制及RBAC的集群认证与鉴权机制。
K8SapiVersion该用哪个
weixin_34167043的博客
11-25 2281
本篇文章来自Terraform与Kubernetes中关于Deployment apps/v1的吐槽 Kubernetes的官方文档中并没有对apiVersion的详细解释,而且因为K8S本身版本也在快速迭代,有些资源在低版本还在beta阶段,到了高版本就变成了stable。 如Deployment: 1.6版本之前 apiVsersio...
在本地节点调试webhook
fayeestone的博客
09-17 1827
引言 通过operator SDK创建的webhook默认使用的service的方式访问webhook server,这需要将webhook部署到k8s上才能工作。对于开发的初级阶段,往往需要在反复修改调试代码,每次将webhook部署到k8s上很不方便。本节将介绍在本地调试webhook的方法。 原理 webhook分别为两部分,其一是能够处理https请求的web服务器,以及webhook请求的处理程序;其二是在k8s上声明哪些资源对象状态变化需要调用webhook请求,该功能通过创建mutatingw
K8S 资源指标API及自定义指标API
Jesse技术博客
09-20 6988
资源指标API及自定义指标API 资源指标:metrics-server 自定义指标 1.8以后引入了资源api指标监视 资源指标:metrics-server 自定义指标:prometheus,k8s-prometheus-adapter     k8s的中的prometheus需要k8s-prometheus-adapter转换一下才可以使用 新一代架构:     核心指标流水线:    ...
项目启动异常:invalid constant type: 15
梦昼初
03-05 3802
java.io.IOException:invalidconstanttype:15 atjavassist.bytecode.ConstPool.readOne(ConstPool.java:1027) atjavassist.bytecode.ConstPool.read(ConstPool.java:970) atjavassist.b
Kubernetes 准入控制 Admission Controller 介绍
weixin_33858249的博客
12-17 381
1.什么是Admission Controller Admission Controller(准入控制)是 Kubernetes API Server 用于拦截请求的一种手段。Admission可以做到对请求的资源对象进行校验,修改。service mesh最近很火的项目Istio天生支持Kubernetes,利用的就是admission对服务实例自动注...
error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR FileAvailable--etc-kubernetes-manifests-kube-apiserver.yaml]: /etc/kubernetes/manifests/kube-apiserver.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-controller-manager.yaml]: /etc/kubernetes/manifests/kube-controller-manager.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-scheduler.yaml]: /etc/kubernetes/manifests/kube-scheduler.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-etcd.yaml]: /etc/kubernetes/manifests/etcd.yaml already exists
06-01
这个错误是因为您尝试安装Kubernetes的某个组件时,该组件的配置文件已经存在于相应的目录中。这可能是由于之前的安装过程中出现了问题或者手动创建了这些文件导致的。 为了解决这个问题,您可以尝试删除这些文件或备份它们,然后重新运行安装命令。您可以使用以下命令备份这些文件: ``` sudo mv /etc/kubernetes/manifests/kube-apiserver.yaml /etc/kubernetes/manifests/kube-apiserver.yaml.bak sudo mv /etc/kubernetes/manifests/kube-controller-manager.yaml /etc/kubernetes/manifests/kube-controller-manager.yaml.bak sudo mv /etc/kubernetes/manifests/kube-scheduler.yaml /etc/kubernetes/manifests/kube-scheduler.yaml.bak sudo mv /etc/kubernetes/manifests/etcd.yaml /etc/kubernetes/manifests/etcd.yaml.bak ``` 然后再次运行安装命令,应该就可以成功安装了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值