Kubernetes开发(4)-webhook 实现拦截请求

最新推荐文章于 2024-08-09 07:21:18 发布
最新推荐文章于 2024-08-09 07:21:18 发布
阅读量1.8k 收藏 6
点赞数 2
分类专栏: k8s Go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxpaomian/article/details/117443864
版权
本文介绍了Kubernetes webhook的概念,作为权限控制的补充,允许自定义拦截和处理请求。webhook分为MutatingWebhookConfiguration(修改请求配置)和ValidatingWebhookConfiguration(验证请求配置)。通过AdmissionReview对象,api-server与webhook服务进行交互,完成资源的修改和准入判断。文章还简单探讨了webhook的实现逻辑,包括创建TLS web server并设置路由及处理函数。
摘要由CSDN通过智能技术生成

什么是webhook

Kubernetes 通过rbac进行权限控制,实现了哪些account对哪些资源具有哪些权限的控制,但它并不是万能的, 因为rbac控制的操作权限类型是有限的,需要再进行一些细化的权限管控就无从下手了,比如需要限制一些controller只能从制定的harbor进行image的下载,比如需要限制一些controller只能使用指定范围的端口号等,所幸Kubernetes在各个方面都可以进行一些自定义的开发,而webhook就是用来实现类似需求的。

webhook官网介绍

先看下官网的说明:
官方说明

官网写的很清楚,webhook本质上就是一个拦截器+回调器,它在拦截了用户的请求之后对通过以下2类webhook对请求做处理,然后再回调api-server。

  • MutatingWebhookConfiguration: 修改用户请求的配置
  • ValidatingWebhookConfiguration: 验证 用户请求的配置是否合法

这2类webhook的调用顺序可以参考下图:
拦截器

前置检查:

  • 先要看下api-server的启动参数里有没有开启准入配置
    –enable-admission-plugins=NodeRestriction,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,由于开发环境是mac 上,用docker-desktop部署的,所以可以通过pod配置进行查看。
kubectl get pods kube-apiserver-docker-desktop -n kube-system -o yaml | grep enable-admiss

AdmissionReview

webhook本质上是一个http 服务,由api-server通过一个叫做AdmissionReview的对象来发送&接受请求的。

一个官网的AdmissionReview示例(admissionregistration.k8s.io/v1):

{
   
  "apiVersion": "admission.k8s.io/v1",
  "kind": "AdmissionReview",
  "request": {
   
    # Random uid uniquely identifying this admission call
    "uid": "705ab4f5-6393-11e8-b7cc-42010a800002",

    # Fully-qualified group/version/kind of the incoming object
    "kind": {
   "group":"autoscaling","version":"v1","kind":"Scale"},
    # Fully-qualified group/version/kind of the resource being modified
    "resource": {
   "group":"apps","version":"v1","resource":"deployments"},
    # subresource, if the request is to a subresource
    "subResource": "scale",

    # Fully-qualified group
最低0.47元/天 解锁文章
钟大發
关注
专栏目录
Kubernetes Admission Webhook在prometheus-operator中的使用
以简为道
12-21 1414
一 Admission Webhook概览 Kubernetes Admission Webhook机制作为API Server的扩展机制,可以用来灵活地在对API Server对象进行写操作时实现对象统一修改和检验等功能,详细的功能介绍可以参见官方文档。当客户端连接API Server更改对象时,会经过下图所示的过程。 总得来说,有两种Admission Webhook: Mutating ...
云原生 | Kubernetes - Webhook 模式
Trollz的博客
01-18 1595
版本兼容规则
Webhook 开源项目教程
最新发布
gitblog_01016的博客
08-09 613
Webhook 开源项目教程 webhookwebhook is a lightweight incoming webhook server to run shell commands项目地址:https://gitcode.com/gh_mirrors/we/webhook 项目介绍 Webhook 是一个轻量级的、基于HTTP的回调机制,广泛应用于现代Web应用程序之间实现事件驱动的通信。...
kuberneteswebhook开发(一篇搭好开发架构)
weixin_40965647的博客
08-02 1023
webhookkuberneteswebhook开发实例 介绍 Webhook就是一种HTTP回调,用于在某种情况下执行某些动作,Webhook不是K8S独有的,很多场景下都可以进行Webhook,比如在提交完代码后调用一个Webhook自动构建docker镜像 K8S中提供了自定义资源类型和自定义控制器来扩展功能,还提供了动态准入控制,其实就是通过Webhook实现准入控制,分为两种:验...
了解Kubernetes三大门神之一Webhook
happy_85的专栏
07-05 866
Admission Webhook 是提高 Kubernetes 集群安全性的关键组件之一。通过动态审查和修改请求,它可以强制执行安全策略、防止恶意操作,并满足定制化需求。部署 Admission Webhook 需要一些配置和验证步骤,但一旦成功完成,它将为您的 Kubernetes 集群带来更高的安全性和可靠性。
Kubernetes operator系列:webhook 知识学习
a1369760658的博客
03-14 623
本文是 Kubernetes operator学习 系列文章,本节会对 kubernetes webhook 知识进行学习
4、Kubernetes 集群安全 - 准入控制1
08-04
准入控制器则是API Server的一个扩展,它们在请求被持久化到etcd存储之前对请求进行拦截、修改或拒绝。 1. **NamespaceLifecycle**:这个插件主要负责管理命名空间(Namespace)的生命周期。它防止用户在不存在的...
Kubernetes开发(6)-MutatingAdmissionWebhook练手
zyxpaomian的博客
06-01 1165
之前写了一个简单的webhook 的tls server,并且写了一个简单的validate的api 用于实现资源的拦截。之前有提到webhook有两类,第二类就是mutatingadmissionwebhook,即对资源进行修改,仔细想想不会太意外,比如istio本质上不就是mutatingadmissionwebhook么,在启动的时候直接sidecar方式插入一个container,然后通过该container进行各类服务收集/治理,那练手的话可以自己插入一个redis 容器,模拟istio的side
给 K8s 中的 Operator 添加 Webhook 功能
Huangjiazhen711的博客
09-13 665
准入控制器是在对象持久化之前用于对 Kubernetes API Server 的请求进行拦截的代码段,在请求经过身份验证和授权之后放行通过。准入控制器可能正在 validatingmutating 或者都在执行,Mutating 控制器可以修改他们处理的资源对象,Validating 控制器不会,如果任何一个阶段中的任何控制器拒绝了请求,则会立即拒绝整个请求,并将错误返回给最终的用户。时序图如下所示:如果我们想为 CRD 实现 admission webhook,我们唯一要做的就是实现
kubernetes安全机制--Admission Control准入控制
江晓龙的博客
04-20 722
kubernetes安全机制–Admission Control准入控制 通过了认证和授权之后,还需要经过准入控制处理之后,apiserver才会处理请求。 准入控制是一个可配置的控制器列表,可以通过在apiserver上使用命令行设置执行哪些准入控制器 用于拦截请求的一种方式,运行在认证,授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验 --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,Persiste
kube-mutating-webhook-tutorial:一个实现sidecar注入的Kubernetes变异Webhook服务器
05-09
Kubernetes突变Webhook用于Sidecar注入 此tutoral显示了如何构建和部署 :注射nginx的边车容器插入到持久对象的现有吊舱。 先决条件 v1.12 +版本 版本17.03+ 版本v1.11.3 + 访问Kubernetes v1.11.3 +集群与admissionregistration.k8s.io/v1beta1 API启用。 通过以下命令进行验证: kubectl api-versions | grep admissionregistration.k8s.io 结果应为: admissionregistration.k8s.io/v1 admissionregistration.k8s.io/v1beta1 注意:此外,应添加MutatingAdmissionWebhook和ValidatingAdmissionWebhook接纳控制器,并以正
PyPI 官网下载 | webhooksimple-0.1.1.tar.gz
02-02
资源来自pypi官网。 资源全名:webhooksimple-0.1.1.tar.gz
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
Kubernetes WebHook 入门 -- 入门案例: apiserver 接入 github
aifeier的博客
01-09 2672
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
kubernetes 动态webhook的使用
weixin_43855694的博客
03-06 2624
准入控制器概念 k8s apiserver 在处理每一个操作资源对象的请求时,在经过认证(是否为合法用户)/ 鉴权(用户是否拥有权限)后,并不会直接根据端点资源类型和 rest 动作直接执行操作,在这中间,请求会被一系列准入控制器插件(Admission Controller)进行拦截,校验其是否合乎要求,亦或是对特定资源进行配置。 准入机制 如果所有的 webhooks 批准请求,准入控制链继续流转; 如果有任意一个 webhooks 阻止请求,那么准入控制请求终止,并返回第一个 webhook 阻止的
kubebuilder实战之七:webhook
m0_75280563的博客
04-13 339
一个好的心态和一个坚持的心很重要,很多冲着高薪的人想学习前端,但是能学到最后的没有几个,遇到困难就放弃了,这种人到处都是,就是因为有的东西难,所以他的回报才很大,我们评判一个前端开发者是什么水平,就是他解决问题的能力有多强。分享一些简单的前端面试题以及学习路线给大家,狂戳这里即可获取技术停滞不前!**因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
创建K8s pod Webhook
cn_lyg的博客
08-24 1446
为K8s核心组件Pod创建Webhook
Kubebuilder 构建 k8s-operator 实现自定义 controller 和 webhook 逻辑
ju4t_s的博客
03-05 852
首先,我们需要定义好自定义的资源,我们这里指定为App,我们希望开发团队能够声明一个App 的资源,然后由我们的自定义controller根据其配置,自动为其创建deployment、service、ingress等资源。解决前面遗留的问题。
prometheus-webhook-dingtalk
08-16
4. 启动 prometheus-webhook-dingtalk:运行以下命令来启动 prometheus-webhook-dingtalk: ``` dingtalk -config.file=config.yml ``` 5. 配置 Prometheus:在 Prometheus 的配置文件中,添加以下内容来指定告...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值