k8s: admission demo(准入控制)

原创 已于 2024-04-22 18:35:27 修改 · 976 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #容器 #云原生

于 2024-04-22 15:32:33 首次发布

1. 背景

k8s中在创建资源前需要校验,修改pod的一些属性,优雅的像java的拦截器,过滤器一样工作,需要加准入控制。概念去官网搜,不占用篇幅。本文主要讲例子,学技术还是脚踏实地作出demo。

2. 资料

本文参考github上demo,可以自己找些例子,我主要讲解:GitHub - stackrox/admission-controller-webhook-demo: Kubernetes admission controller webhook example

3. 项目讲解

项目结构还是很简单

3.1 main.go

cmd/webhook-server/main.go

前两行是密钥对路径。

下面创建server,路径是mutate,端口是8443,加载密钥对。

处理函数是admitFuncHandler参数是applySecurityDefaults这也是个函数,真正的处理在applySecurityDefaults逻辑写在这里,其他都是框架。

看下函数实现


                

        

    



  


        

            

                      
                        最低0.47元/天 解锁文章
                          
                      
            

        


    



                



	

		

			

				
					
k8s admission机制源码分析

				
			

			

				

					fengcai_ke的博客
				

				

					10-04
					
					564
					
				

			

		

		

			
				
k8s admisson机制分析

			
		

	



                

            
              



	

		

			

				
					
k8sadmission webhook 部署在集群外,如何创建ssl 文件

				
			

			

				

					Standup-jb的博客
				

				

					01-18
					
					1086
					
				

			

		

		

			
				
背景
一般情况下,对于webhook服务都是部署在k8s的集群内部的,但是我们这边有需要,需要部署在集群外面的物理机上,但是在MutatingWebhookConfiguration 里面只能配置https,所以需要自己签发证书。整个过程还是踩了坑。把过程记录下来。照着做肯定能成功。
安装cfssl
这个就不放具体的方法了,Google搜索一下。安装后执行一下命令 cfssl version 如果能正常显示如下,就代表安装好了
Version: 1.4.1
Runtime: go1.13.4

使用如下命令

			
		

	



              


  
              

                


	

		

			

				
					
k8s准入控制Admission Webhook研究

				
			

			

				

					weixin_47575974的博客
				

				

					08-06
					
					1813
					
				

			

		

		

			
				
k8s准入控制Admission Webhook研究

			
		

	





	

		

			

				
					
kubernetes安全机制

				
			

			

				

					Drw_Dcm的博客
				

				

					11-14
					
					2793
					
				

			

		

		

			
				
kubernetes安全机制

			
		

	



		

			
		



	

		

			

				
					
k8s admission webhook初探

				
			

			

				

					u012803274的博客
				

				

					03-20
					
					3360
					
				

			

		

		

			
				
前言
之前一篇博客讨论的问题,就是如何杀掉container的主进程,并且让container不重启,最后有讲到说也许可以使用admission webhook,动态替换容器,做到给一个空容器,也就是deployment或者是statufulset的image标签,换成一个空镜像启动,然后在这里container中就可以java -jar启动自己的容器, 关闭自己的容器,完全当成是一个小型Linux来使用了,方便快速验证功能,不用每次都需要跑CI/CD。所以今天就来看看方案可行性,并且动手实践一把。
实践


			
		

	





	

		

			

				
					
kubernetes中的Admission Controllers

				
			

			

				

					weixin_33752045的博客
				

				

					06-19
					
					236
					
				

			

		

		

			
				
这是啥

准入控制admission controller本质上一段代码,在对kubernetes api的请求过程中,顺序为 先经过 认证 & 授权,执行准入操作,在对目标对象进行操作。这个准入代码在apiserver中,而且必须被编译到二进制文件中才能被执行。

在对集群进行请求时,每个准入控制代码都按照一定顺序执行。如果有一...

			
		

	





	

		

			

				
					
k8sAdmission Controller

				
			

			

				

					woshihlf的博客
				

				

					02-20
					
					1271
					
				

			

		

		

			
				
Admission ControllerKubernetes 中一个强大的扩展机制,允许用户在 API 请求被处理之前对请求进行验证、修改或拒绝。通过准入控制器,用户可以实现各种自定义的业务逻辑,例如资源配额控制、安全策略检查、自动化配置注入等。Kubernetes 提供了两种主要的准入控制器实现方式:Server-Side AdmissionWebhook Admission。以下是这两种方式的详细介绍、实现细节、优缺点以及适用场景。

			
		

	





	

		

			

				
					
云原生Kubernetes:18、详解准入控制

				
			

			

				

					LQ的博客
				

				

					09-02
					
					639
					
				

			

		

		

			
				
详解准入控制器!

			
		

	





	

		

			

				
					
k8s安全管理:认证、授权、准入控制概述

				
			

			

				

					weixin_44800629的博客
				

				

					09-20
					
					1525
					
				

			

		

		

			
				
认证基本介绍
kubernetes主要通过APIserver对外提供服务,那么就需要对访问apiserver的用户做认证,如果任何人都能访问apiserver,那么就可以随意在k8s集群部署资源,这是非常危险的,也容易被黑客攻击渗透,所以需要我们对访问k8s系统的apiserver的用户进行认证,确保是合法的符合要求的用户。
 
授权基本介绍:
认证通过后仅代表它是一个被apiserver信任的用户,能访问apiserver,但是用户是否拥有删除资源的权限, 需要进行授权操作,常见的授权方式有rbac授权。

			
		

	





	

		

			

				
					
k8s mysql授权_Kubernetes之(十五)身份认证,授权,准入控制

				
			

			

				

					weixin_35607076的博客
				

				

					02-04
					
					806
					
				

			

		

		

			
				
Kubernetes(十五)身份认证,授权,准入控制API Server作为Kubernetes网关,是访问和管理资源对象的唯一入口,其各种集群组件访问资源都需要经过网关才能进行正常访问和管理。每一次的访问请求都需要进行合法性的检验,其中包括身份验证、操作权限验证以及操作规范验证等,需要通过一系列验证通过之后才能访问或者存储数据到etcd当中。如下图:ServiceAccountService ...

			
		

	





	

		

			

				
					
揭秘K8s Pod安全:从SCC的实践到现在的PSA的全面解析

				
			

			

				

					力哥讲技术
				

				

					04-28
					
					1549
					
				

			

		

		

			
				
对于和 containerd 类似,通过 Linux namespace 和 Cgroup  实现的一类 容器技术,本质上,容器就是 宿主节点的一个进程,出于安全考虑,最小权限原则,在生产中,很少使用 Root 来运行一些业务进程,即很少通过 根用户 来运行相关容器。避免 特权升级,容器逃逸,以及利用不必要权限来增加意外操作或者恶意行为。

			
		

	





	

		

			

				
					
k8s 中Authentication Authorization Admission control含义

				
			

			

				

					conli的博客
				

				

					10-24
					
					300
					
				

			

		

		

			
				
k8s Authentication  Authorization Admission control 含义与区别

			
		

	





	

		

			

				
					
带你玩转kubernetes-k8s(第40篇:深入分析集群安全机制三[Admission Control, Service Account])

				
			

			

				

					坚持的道路注定孤独
				

				

					08-13
					
					858
					
				

			

		

		

			
				
Adminssion Control

   突破了之前所说的认证和鉴权两道关卡之后,客户端的调用请求就能够得到API Server的真正响应了吗?答案是:不能!这个请求还需要通过Admission Control(准入控制)所控制的一个准入控制链的层层考验,才能获得成功的响应。Kubernetes官方标准的“关卡”有30多个,还允许用户自定义扩展。
    Admission C...

			
		

	





	

		

			

				
					
k8sAdmission webhook

				
			

			

				

					weixin_43114954的博客
				

				

					10-06
					
					2655
					
				

			

		

		

			
				
前言

Kubernetes 对 API 访问提供了三种安全访问控制措施:认证、授权和 Admission Control。认证解决用户是谁的问题,授权解决用户能做什么的问题,Admission Control 则是资源管理方面的作用。通过合理的权限管理,能够保证系统的安全可靠。







本文主要讲讲Admission中ValidatingAdmissionWebhook和MutatingAdmissionWebhookAdmissionWebhook

我们知道k8s在各个方面都具备可扩展性,

			
		

	





	

		

			

				
					
K8S基于MutatingAdmissionWebhook实现资源超卖

				
			

			

				

					会哭的雨@的博客
				

				

					03-31
					
					2387
					
				

			

		

		

			
				
文章目录

一、资源超卖问题分析
	二、实现资源超卖的思路
	三、MutatingAdmissionWebhook特性
	四、MutatingWebhookConfiguration对象简介
	五、源码分析
	六、资源超卖算法实践
	七、参考资料
一、资源超卖问题分析
在生产环境中,kubernetes集群的计算节点上运行着许许多多的Pod,分别跑着各种业务容器,我们通常用Deployment、DeamonSet、StatefulSet等资源对象去控制Pod的增删改。因此,开发或运维往往需要配置这些资源对象

			
		

	





	

		

			

				
					
关于 KubernetesAdmission Controllers(准入控制) 认知的一些笔记

				
			

			

				

					山河已无恙
				

				

					12-02
					
					572
					
				

			

		

		

			
				
人活着就是为了忍受摧残,一直到死,想明了这一点,一切事情都能泰然处之 —— 王小波《黄金时代》准入控制器 可以简单理解为 。或者  中的 ,编程中的,AOP 切面,顾名思义, 准入控制器用于在 k8s 中资源创建的时候做一些校验机制,判断创建的 API 资源是否可行。同时也可以对传递到准入控制器的 操作对象资源请求进行更改,在加工,或者完全拒绝。通过 准入控制器,可以灵活的处理对API 资源的准入进行限制,除了提供的内置准入控制器,K8s 还提供了  的方式,即可以通过编码的方式编写自己的的埋点逻辑。准入控

			
		

	





	

		

			

				
					
一文读懂什么是K8s Admission Controller

					
最新发布

				
			

			

				

					虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
				

				

					02-25
					
					1281
					
				

			

		

		

			
				
一文读懂什么是K8s Admission Controller

			
		

	





	

		

			

				
					
Kubernetes Admission Controller 简介 - 注入 sidacar 示例

				
			

			

				

					凌虚Blog
				

				

					04-16
					
					212
					
				

			

		

		

			
				
Admission ControllerKubernetes Admission Controller准入控制器)是什么?如下图所示:Admission Controller Phases当我们向 k8s api-server 提交了请求之后,需要经过认证鉴权、mutation admission、validation 校验等一系列过程,最后才会将资源对象持久化到 etcd 中(其它组件诸如 c...

			
		

	





	

		

			

				
					
Chimera Admission: Kubernetes动态准入控制的WebAssembly验证策略

				
			

			

				

					
				

			

		

		

			
				
标题“chimera-admission:使用WebAssembly策略验证传入请求的Kubernetes动态准入控制器”描述了一个名为chimera-admission的项目,这个项目是一个动态准入控制器(admission controller),用于在Kubernetes环境中对...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值