Kubernetes开发(5)-validateadmission练手

已于 2022-05-23 16:13:27 修改
阅读量551 收藏
点赞数 1
分类专栏: k8s Go 文章标签: kubernetes golang 容器
于 2021-06-01 15:18:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxpaomian/article/details/117443963
版权
k8s 同时被 2 个专栏收录
21 篇文章 3 订阅
订阅专栏
Go
18 篇文章 3 订阅
订阅专栏

补充好基础知识后,上手实践才是最快的学习方法,所以先写一个validateadmission练练手。模拟一个生产需求,假设生产环境所有的deployment不允许单点,即副本数量不能少于2,如果少于2则不允许创建,且多个Kubernetes集群都有类似需求,那么这个场景用webhook实现就非常简单。

先上一下自己写的demo地址webhook demo,可以对照查看

思路

之前有提过webhook的调用逻辑,结合当前场景,大致上是以下几个步骤:

  • 创建一个tls 的webserver, 做好路由,路由绑定handler
  • handler 用于接收api-server发来的admission review
  • 创建一个ValidatingWebhookConfiguration,用于注册web server的url 以及 绑定证书。
  • web server 解析admission review ,根据信息做判断
  • 对结果进行处理,然后回调api-server
  • 创建完成

大致的流程就是以上几个步骤,其实非常简单,主要搞清楚几个结构体就可以了,下面开始操作:

// 启动HTTP服务
	mux := http.New()
	handle.InitHandle(mux)
	srv := &go_http.Server{
		Handler:      mux.GetRouter(),
		Addr:         fmt.Sprintf(":%d", port),
		TLSConfig: &tls.Config{
			Certificates: []tls.Certificate{cert},
		},
		WriteTimeout: 15 * time.Hour,
		ReadTimeout:  15 * time.Hour,
	}
	go srv.ListenAndServeTLS("", "")

入口就是一个简单的webserver, 指定好证书路径,以及加载mux路由即可。

func valiDateAdmission(res http.ResponseWriter, req *http.Request) {
	// 解析收到的报文
	reqContent, err := ioutil.ReadAll(req.Body)
	defer req.Body.Close()
	if err != nil {
		klog.Errorf("[webhook] 请求报文解析失败")
		common.ReqBodyInvalid(res)
		return
	}

	// 定义resp的报文
	var admissionResponse *admissionv1.AdmissionResponse
	requestedAdmissionReview := admissionv1.AdmissionReview{}
	// 对api-server传过来的报文做解析
	_, _, err = deserializer.Decode(reqContent, nil, &requestedAdmissionReview)
	if err != nil {
		klog.Errorf("[webhook] 请求报文解析失败: %v", err)
		admissionResponse = &admissionv1.AdmissionResponse{
			Result: &metav1.Status{
				Code:    http.StatusInternalServerError,
				Message: err.Error(),
			},
		}
	// 解析成功,进行具体的拦截
	} else {
		admissionResponse = controller.Validate(&requestedAdmissionReview)
	}

	// 构造返回的 AdmissionReview 这个结构体
	responseAdmissionReview := admissionv1.AdmissionReview{}
	// admission/v1
	responseAdmissionReview.APIVersion = requestedAdmissionReview.APIVersion
	responseAdmissionReview.Kind = requestedAdmissionReview.Kind
	if admissionResponse != nil {
		responseAdmissionReview.Response = admissionResponse
		if requestedAdmissionReview.Request != nil { // 返回相同的 UID
			responseAdmissionReview.Response.UID = requestedAdmissionReview.Request.UID
		}
	}

	klog.Infof("[webhook] 回调api-server, 发送报文: %v",responseAdmissionReview.Response)
	// send response
	respBytes, err := json.Marshal(responseAdmissionReview)
	if err != nil {
		klog.Errorf("[webhook] 无法解析回调报文: %v", err)
		http.Error(res, fmt.Sprintf("Can't write reponse: %v", err), http.StatusBadRequest)
		return
	}
	klog.Info("[webhook] 准备发送回包")

	if _, err := res.Write(respBytes); err != nil {
		klog.Errorf("[webhook] 无法发送回调报文: %v", err)
		http.Error(res, fmt.Sprintf("Can't write reponse: %v", err), http.StatusBadRequest)
	}
}

其中**admissionResponse=controller.Validate(&requestedAdmissionReview)**才是具体的拦截逻辑,前面的处理可以独立出来作为一个单独的装饰函数,因为都是用来解析admission review的

func Validate(ar *admissionv1.AdmissionReview) *admissionv1.AdmissionResponse {
	req := ar.Request
	var (
		allowed = true
		code    = http.StatusOK
		message = ""
	)

admission的具体结构可以看之前的文章,之前也有提到,拦截是否允许主要就是看allowed这个字段,之前的需求是判断副本数量,所以需要对admission进行解析

	var dep appsv1.Deployment
	if err := json.Unmarshal(req.Object.Raw, &dep); err != nil {
		klog.Errorf("[webhook] 无法解析AdmissionReview object raw: %v", err)
		allowed = false
		code = http.StatusBadRequest
		return &admissionv1.AdmissionResponse{
			Allowed: allowed,
			Result: &metav1.Status{
				Code:    int32(code),
				Message: err.Error(),
			},
		}
	}

因为处理的是deployment, 所以需要对以appsv1.Deployment对结构体进行解析,然后进行判断

	// 处理真正的业务逻辑
	replicas := *dep.Spec.Replicas
	if replicas < 3 {
		klog.Infof("[webhook] deployment不满足最低副本数量,无法创建")
		allowed = false
		code = http.StatusForbidden
		message = "need 3 replicas at least, create deployment failed"
	}

然后打包成docker镜像,以deployment 部署在kubernetes 集群内,然后进行部署一个service, 用于api-server的调用,之后部署ValidatingWebhookConfiguration

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: admission-registry
webhooks:
- name: zyx.test.admission-registry
  rules:
  - apiGroups:   ["apps"]
    apiVersions: ["v1"]
    operations:  ["CREATE"]
    #resources:   ["pods","deployments"]
    resources:   ["deployments"]
  clientConfig:
    service:
      namespace: default
      name: admission-registry
      path: "/v1/api/validate"
    caBundle: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSURuakNDQW9hZ0F3SUJBZ0lVT2RVeWVCenVVcFdIenFvMGczOE5XeE1SNm9jd0RRWUpLb1pJaHZjTkFRRUwKQlFBd1p6RUxNQWtHQTFVRUJoTUNRMDR4RVRBUEJnTlZCQWdUQ0ZOb1lXNW5hR0ZwTVJFd0R3WURWUVFIRXdoVAphR0Z1WjJoaGFURU1NQW9HQTFVRUNoTURhemh6TVE4d0RRWURWUVFMRXdaVGVYTjBaVzB4RXpBUkJnTlZCQU1UCkNtdDFZbVZ5Ym1WMFpYTXdIaGNOTWpFd05USTBNRGMwT1RBd1doY05Nall3TlRJek1EYzBPVEF3V2pCbk1Rc3cKQ1FZRFZRUUdFd0pEVGpFUk1BOEdBMVVFQ0JNSVUyaGhibWRvWVdreEVUQVBCZ05WQkFjVENGTm9ZVzVuYUdGcApNUXd3Q2dZRFZRUUtFd05yT0hNeER6QU5CZ05WQkFzVEJsTjVjM1JsYlRFVE1CRUdBMVVFQXhNS2EzVmlaWEp1ClpYUmxjekNDQVNJd0RRWUpLb1pJaHZjTkFRRUJCUUFEZ2dFUEFEQ0NBUW9DZ2dFQkFLTWJLT0Q5WGMzMDhlWlQKK0J2MGYzR3QxTGtzWk1jUXNUUG5rQXpWeVRQSDdFSkpORkVoVzI0UE8yNzgvaTNWcEdPNU12MVZCcW1rcGwrSgorZ1dwZW5TSDNIbTdsOTZmckt4TmRGWG94Y3VLaWNPOHhvVUVxWCt0cVIvR0toUGYrcjBCWXFUR1o1aVVCZGdVCjU0STJIQjREc1Exc0lCY1JBUms5WVJ5ZjRLYXRZVVEzdGRuNFRyNmFhUXg5OE9Gd1hUNXpiNktINVQ2MTNKdk8KUExpV0JNWUxUZG5WZ256ZzVXeDUreDkvV0FtaTJSK0JjTllLUjY0RWgzeWJZam5NeGtGL1JEMTZPSTlFOTJNRApEaVB6U09oemplQ3RIY1NRcStpTllIQzhzSUJlRFlxL256bTFDR0hTL1NpMDdZVFBjZTBXeE5RelRpMlM2dlZXCkdrWGVPaWNDQXdFQUFhTkNNRUF3RGdZRFZSMFBBUUgvQkFRREFnRUdNQThHQTFVZEV3RUIvd1FGTUFNQkFmOHcKSFFZRFZSME9CQllFRlB0S2U2TXFoTjlLaEJ5S3Ntdy9sR3pZd25iL01BMEdDU3FHU0liM0RRRUJDd1VBQTRJQgpBUUFqNnVyVTVhS0I5MWZuQTF2dE1DVjZRVHFmenMrd1dFcHZVbElXOHdZYXVydDZPWUc1YkxFSHoyRUJJRXplCjMvcGM4ZUkvamJSU0JNZDJGbk9Sa0pVTmh5MDBBZE05MTRFUFo5Y0FIOFpGUVI1UTZCUmw1Qnl6Mk5jOHN3dGMKMmtraW0vWUJ4TkFFYnFLQjBhTmw0TW5LbTc3TzgzSXpwREN2SzBWdlRCVXJVYnlzd1l6d0lCaEZxSTl5ZUo2Zgo1U1JpemdrUHVYRG1qSlZiN092dzNTNkxRT1o4VmdJRS9wZGJvRTBsTHpmZ2pROWVDVFM0ZmRXSE9oNGp1TXJMCklqeG1pMHhOVVVkTXdPeFNvQlJKa3J3eU1Fa1FoN2swYmZROFdsRkFNenVST29RVmVraU1BNkhLeDdQOFd1UmUKYzhKRkVOVmk5VEVMTXkwWHpJNWhoOVlwCi0tLS0tRU5EIENFUlRJRklDQVRFLS0tLS0K
  admissionReviewVersions: ["v1"]
  sideEffects: None

其中rules 就是对资源的限制条件,path是之前webserver的url, caBundle 是客户端的ca证书,cat **.pem | bare64即可。

个人公众号, 分享一些日常开发,运维工作中的日常以及一些学习感悟,欢迎大家互相学习,交流

在这里插入图片描述

钟大發
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
bum报文_报文的发送、处理方法及装置,PE节点,节点与流程
weixin_39885067的博客
12-21 1069
本发明涉及通信领域,具体而言,涉及一种报文的发送、处理方法及装置,PE节点,节点。背景技术:在一条VPN业务中,网络节点被分为业务感知节点和非业务感知节点,该业务感知节点,即PE节点、可扩展虚拟局域网隧道端点(VXLAN Tunnel End Point,简称VTEP)节点或网络虚拟边缘(Network Virtualization Edge,简称NVE)节点,所谓非业务感知节点即PE节点或单层网...
Kubernetes ImagePolicyWebhook与ValidatingAdmissionWebhook【3】validating_admission.go源码解析
爱死亡机器人
08-29 469
源码:https://github.com/kainlite/kube-image-bouncer handler的validating_admission.go 我们分析完了handler的Image_Policy.go,接下来运用同样的方式分析validating_admission.go 我们看一下报错信息 $ kubectl describe rc nginx-latest #警告不允许有latest标签的镜像 ..... Warning FailedCreate 11s (x14 over
Kubernetes ImagePolicyWebhook与ValidatingAdmissionWebhook【1】动手实践感受区别所在
爱死亡机器人
08-16 993
文章目录1. 介绍2. 对比:ImagePolicyWebhook 和 ValidatingAdmissionWebhook3. ImagePolicyWebhook配置说明4. 示例4.1 下载介质4.2 下载安装证书管理工具cfssl4.3 创建证书签名请求4.4 创建证书签名请求对象发送到 Kubernetes API4.5 批准证书签名请求4.6 下载证书4.7 ImagePolicyWebhook 部署4.8 ValidatingAdmissionWebhook 部署 1. 介绍 准入控制器(
VXLAN介绍——网络技术
weixin_33785108的博客
05-25 694
读者的约束:需要读者对TCP/IP有较深入的理解。为什么要VXLAN?● 虚拟机规模受网络规格限制虚拟机规模受网络规格限制在大二层网络环境下,数据报文是通过查询MAC地址表进行二层转发,而MAC地址表的容量限制了虚拟机的数量。● 网络隔离能力限制当前主流的网络隔离技术是VLAN或×××(Virtual Private Network),在大规模的虚拟化网络中部署存在如下限...
分布式微服务
wanzhong_liao的博客
11-30 185
现在的企业开发模式都是在这种分布式存储的思想下进行,开发效率和运行效率都有很大的提升。服务续约,服务发现,服务治理,服务熔断机制,这个微服务框架集成很多的大数据服务性能提升解决方案的实现。Dubbo框架也是分布式微服务的框架,作为初级开发的时候有接触过。上市的意味着在市场是上面是稳定的开发版本,经过大量的测试和市场调研才会进行公布的结果。硬件编程是偏向底层硬件的程序开发,像一般的驱动软件是计算机操作系统操作底层硬件的一层软件编码。使用固定的缓存进行临时数据的存储和读取,还有很多的新概念的实现和运用。
kubernetes-server-linux-amd64.tar.gz
08-28
kubernetes-server-linux-amd64.tar.gz 二进制安装包 kubernetes 1.25.10 安装包 kubernetes-server-linux-amd64
kubernetes-server-linux-amd64.tar
最新发布
01-17
kubernetes-server-linux-amd64.tar k8s
kubernetes-server-linux-amd64.tar.gz 安装包
08-28
kubernetes-v1.20.15 kubernetes-server-linux-amd64.tar.gz 安装包 kubernetes-server-linux-amd64
kubernetes-oom-event-generator:当Pod的容器被OOMKilled后,生成Kubernetes事件
02-03
kubernetes-oom-event-generator 容器启动时生成Kubernetes事件,并指示该容器先前已被杀死。设计控制器侦听Kubernetes API中的新事件和事件更改。 每次收到有关事件的通知时,它都会根据事件的Reason和所涉及对象的...
kubernetes-event-exporter:通过路由和过滤将Kubernetes事件导出到多个目标
02-03
kubernetes-event-exporter 该工具在上。 该工具允许将经常错过的Kubernetes事件导出到各种输出,以便可以将它们用于可观察性或警报目的。 您不会相信所缺少的。 部署方式 继续deploy/文件夹并以给定的文件名顺序...
Kubernetes 开发【1】——webhook 实现 API Server 请求拦截和修改
kingu_crimson的博客
08-04 1315
admission controller是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器编译进可执行文件,并且只能由集群管理员配置。使用准入控制器 | Kubernetes我们也可以通过自己编写一段代码二次开发来实现更为高级更为复杂的需求,官方有具体的实例,该实例的用途是即仅允许pod从指定的镜像仓库拉取image,否则apiserver将会拒绝本次请求。............
分布式消息系统之kafka
qq_38348841的博客
08-04 963
kafka简介 kafka是一个高吞吐量、分布式的发布—订阅消息系统。据kafka官网介绍,当前的kafka已经定位为一个分布式流式处理平台,它最初由LinkedIn公司开发,后来成为Apache项目的一部分。kafka核心模块使用Scala语言开发,支持多语言(java、c/c++、python、Go等)的客户端,它可以进行水平扩展和具有高吞吐量的特性 基本结构 kafka基本概念 主题 一...
k8s准入控制器Admission Webhook研究
weixin_47575974的博客
08-06 1152
k8s准入控制器Admission Webhook研究
MySQL 5.7.11 in CentOS 7 安装部署
day day no bug
05-06 487
1. 下载上传安装包到服务器 下载链接: https://pan.baidu.com/s/1YNaEq9E8lugXC8ebKyegwA 提取码:ienf 2. 解压及创建目录 解压 tar xzvf mysql-5.7.11-linux-glibc2.5-x86_64.tar.gz 重命名 mv mysql-5.7.11-linux-glibc2.5-x86_64 mysql ...
vxlan 分布式网关数据包转发过程_Vxlan基础
weixin_39644494的博客
11-25 1263
一、为什么需要Vxlan 普通的VLAN数量只有4096个,无法满足大规模云计算IDC的需求,而IDC为何需求那么多VLAN呢,因为目前大部分IDC内部结构主要分为两种L2,L3。L2结构里面,所有的服务器都在一个大的局域网里面,TOR透明L2,不同交换机上的服务器互通靠MAC地址,通信隔离和广播隔离靠的vlan,网关在内网核心上。而L3结构这是从TOR级别上就开始用协议进行互联,网关在TOR上,...
bum报文_数据中心网络(1)-VXLAN
weixin_39838362的博客
12-21 1753
想写个DC系列的文章,站在传统路由交换网络基础上谈谈数据中心网络,一方面是给自己的学习做下总结,另一方面也想分享一些东西。谈到数据中心网络,能想到的东西无非就VXLAN、SDN、NFV、EVPN这些概念。先从基础协议开始再谈整体架构,才疏学浅,有不对的地方请评论告知。首先针对性地抛出几个问题:1、为什么用VXLAN?使用场景有哪些?在传统网络中分二层三层。随着云计算的普及,云主机无缝迁移的需求成了...
bum报文_二层MAC学习及BUM报文转发
weixin_39926103的博客
12-21 608
在VXLAN网络中,同子网虚拟机的互通是通过查找MAC表进行转发。如下图所示,VM1给VM2发送报文时,经过VTEP1转发,VTEP1上需要学习到VM2的MAC地址。最初的VXLAN标准并没有定义控制平面,VTEP之间无法传递学习到的主机MAC地址。但是VXLAN有着与传统以太网非常相似的MAC学习机制,当VTEP接收到VXLAN报文后,会记录源VTEP的IP、虚拟机MAC和VNI到本地MAC表中...
Kubernetes APIServer 准入控制
小楼一夜听春雨,深巷明朝卖杏花
07-14 695
作为多租户集群方案中的一环,我们需要在namespace的准入控制中,获取用户信息,并将用户信息更新的namespace的annotation。只有当namespace中有有效用户信息时,我们才可以在namespace创建时,自动绑定用户权限,namespace才可用。准入控制通常有两种主要的目的,一个是你给了我request,这个request长的这个样子,是你填的所有的属性,但是我从平台的一个层面,我希望给它添加一些附加属性。......
kubernetes二进制部署时ca认证排错记录
Focus on k8s and python
12-11 9972
在用二进制部署kubernetes v1.8.3时,遭遇两个ca认证的问题,特记录如下. 1 IP SANs问题 x509: cannot validate certificate for because it doesn't contain any IP SANs 网上搜到的解决办法如下:         修改 /etc/pki/tls/ope
kubernetes-----YAML文件编写详情
08-18
10. 文件示例:下面是一个Kubernetes的YAML文件的示例,用于创建一个名为"kubernetes-dashboard"的命名空间: ``` apiVersion: v1 kind: Namespace metadata: name: kubernetes-dashboard ``` 以上是关于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值