MutatingWebhookConfiguration

最新推荐文章于 2025-03-28 12:43:33 发布
最新推荐文章于 2025-03-28 12:43:33 发布
阅读量1k 收藏 12
点赞数 22
CC 4.0 BY-SA版权
文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hezuijiudexiaobai/article/details/142799519

MutatingWebhookConfiguration 是 Kubernetes 中用于配置准入 Webhook 的资源。它的主要作用是在对象请求被持久化之前,对对象进行修改或验证。具体来说,MutatingWebhookConfiguration 允许在对象创建、更新或删除时,调用外部服务(Webhook)来执行一些自定义的操作,例如注入配置、修改对象属性或拒绝请求。

以下是 MutatingWebhookConfiguration 的一些关键功能和作用:

  1. 修改对象:在对象被持久化之前,MutatingWebhookConfiguration 可以修改对象的属性。例如,可以在 Pod 创建时自动注入 sidecar 容器或配置。

  2. 验证请求:虽然 MutatingWebhookConfiguration 主要用于修改对象,但它也可以与 ValidatingWebhookConfiguration 结合使用,以验证对象的合法性。

  3. 动态准入控制:通过配置 MutatingWebhookConfiguration,可以实现动态的准入控制,即在对象请求被处理时,动态地决定是否接受或拒绝该请求。

  4. 服务注册机制:在某些情况下,Kubernetes 集群可以使用 MutatingWebhookConfiguration 作为服务注册机制的一部分,允许在 Pod 创建时进行预创建操作。

  5. 证书管理:在配置 MutatingWebhookConfiguration 时,通常需要配置服务 CA 捆绑包,以确保 Webhook 服务器的证书能够被验证。

  6. API 端点:MutatingWebhookConfiguration 提供了多个 API 端点,用于创建、删除、列出和监控 Webhook 配置。

  7. 灾难恢复:在某些情况下,MutatingWebhookConfiguration 可以用于实现灾难恢复机制,例如在 Pod 创建时自动添加 ReadinessGate。

  8. 防止集群状态不可恢复:为了防止集群进入不可恢复的状态,MutatingWebhookConfiguration 的配置需要遵循一定的规则,例如不能拦截所有组的请求或特定资源的请求。

MutatingWebhookConfiguration 在 Kubernetes 中扮演着重要的角色,它允许管理员在对象请求被持久化之前,执行自定义的操作,从而实现更灵活和安全的集群管理。

如何配置 MutatingWebhookConfiguration 以自动注入 sidecar 容器?

要配置 MutatingWebhookConfiguration 以自动注入 sidecar 容器,可以按照以下步骤进行:

  1. 定义 MutatingWebhookConfiguration:首先,你需要定义一个 MutatingWebhookConfiguration 对象。这个对象会告诉 Kubernetes API 服务器你的 webhook 应该在哪些请求上被调用。

  2. 配置 webhook:在 MutatingWebhookConfiguration 中,你需要配置 webhook 的详细信息,包括它的名称、规则以及它应该处理的资源类型。例如,你可以指定 webhook 应该在创建 Pod 时被调用。

  3. 启用自动注入:为了使 webhook 能够自动注入 sidecar 容器,你需要确保在 Pod 所属命名空间中启用自动注入功能。这通常通过修改命名空间的配置来实现,使得 webhook 在创建 Pod 时自动注入代理配置。

  4. 检查和更新 caBundle:为了确保 webhook 正确运行,你需要定期检查并更新 MutatingWebhookConfiguration 中的 caBundle 字段,以确保它包含正确的 Kubernetes 集群 CA 证书。

  5. 验证配置:最后,验证 MutatingWebhookConfiguration 是否正确应用,并且 webhook 是否能够成功注入 sidecar 容器。你可以通过查看应用的 Pod 来确认这一点。

MutatingWebhookConfiguration 和 ValidatingWebhookConfiguration 在 Kubernetes 中如何协同工作进行请求验证?

在Kubernetes中,MutatingWebhookConfiguration和ValidatingWebhookConfiguration是准入控制机制的一部分,用于在对象创建、更新或删除时进行验证和修改。它们协同工作以确保集群中的资源符合预定义的规则和策略。

根据,MutatingWebhookConfiguration用于修改用户请求的配置,而ValidatingWebhookConfiguration用于验证用户请求的配置是否合法。这意味着MutatingWebhookConfiguration可以改变对象,而ValidatingWebhookConfiguration则不能改变对象,只能接受或拒绝对象请求。

进一步解释了这两个配置的matchCondition字段是一个CEL表达式,其值必须为“true”,接纳请求才会发送到Webhook。这表明在请求被发送到Webhook之前,必须满足特定的条件。

提供了关于如何配置ValidatingWebhookConfiguration的详细信息,包括定义要验证的资源类型、指定命名空间和服务,以及创建适当的策略以允许Kubernetes API服务器与Webhook服务器之间的通信。

描述了ValidatingWebhookConfiguration的作用,即在不更改对象的情况下接受或拒绝对象请求。这与MutatingWebhookConfiguration的功能形成对比,后者可以修改对象。

MutatingWebhookConfiguration和ValidatingWebhookConfiguration在Kubernetes中协同工作,通过定义一组验证和修改规则,确保集群中的资源符合预定义的策略和规则。

在 Kubernetes 中实现动态准入控制的具体步骤和最佳实践是什么?

在 Kubernetes 中实现动态准入控制的具体步骤和最佳实践可以总结如下:

具体步骤:

  1. 准备工作

    • 确保你的 Kubernetes 集群版本至少是 1.9 版本。
    • 确保变换钩子(MutatingAdmissionWebhook)和验证钩子(ValidatingAdmissionWebhook)已经启用。

  2. 编写准入钩子服务器

    • 编写一个准入钩子服务器(admission webhook server),请参阅已经被 Kubernetes e2e 测试验证通过的准入服务。

  3. 配置准入控制策略

    • 导航到 Workload Protection > Admission Control Policies 页面。
    • 选择“添加策略”并指定环境或组织单位。
    • 选择要应用策略的环境或组织单位。
    • 选择规则集。
    • 选择违反规则时采取的行动(检测模式或预防模式)。
    • 选择通知以在策略被违反时收到通知。
    • 最后,单击“保存”以启用 CloudGuard Admission Control。

  4. 创建和配置 Admission Control 规则集

    • 导航到“Workload Protection > Admission Control Rulesets”,然后单击“添加规则集”。
    • 在“创建新规则集”窗口中输入规则集名称和描述,然后单击“创建”。
    • 向规则集中添加用例或规则。最佳做法是选择最常见的用例选项,只有在找不到适用用例时才单击“新建规则”按钮。

  5. 创建 Admission Control 策略

    • 创建 Admission Control 策略以将规则集绑定到集群。

最佳实践:

  1. 使用 Serverless 实现动态准入控制

    • 利用 Kubernetes Admission 动态准入控制,同时借助 Serverless 实现一个两步验证的 Demo,使读者对动态准入控制有更深入的理解。

  2. 确保变更控制器和验证控制器的正确使用

    • 变更控制器会优先与验证控制器在第一阶段执行,需要注意的是变更控制器会更改请求对象,验证控制器则不行。

  3. 监视准入 Webhook

    • 动态准入控制过程分为两个阶段:首先执行 Mutating 阶段,可以对到达请求进行修改,然后执行 Validating 阶段来验证到达的请求是否被允许。
    • 监视准入 Webhook 的运行状态和性能,确保其正常工作。
如何在 MutatingWebhookConfiguration 中配置服务 CA 捆绑包以确保 Webhook 服务器的证书能够被验证?

在 MutatingWebhookConfiguration 中配置服务 CA 捆绑包以确保 Webhook 服务器的证书能够被验证,可以通过以下步骤实现:

  1. 使用注解:在 MutatingWebhookConfiguration 对象上添加 service.beta.openshift.io/inject-cabundle =true 注解。这将使每个 webhook 的 clientConfig.caBundle 字段由服务 CA 捆绑包填充,从而让 Kubernetes API 服务器能够验证用于保护目标端点的安全的服务 CA 证书。

  2. 查看配置:使用命令 $ oc get mutatingwebhookconfigurations <mutating_webhook_name> -o yaml 查看变异 Webhook 配置,确保服务 CA 捆绑包已注入。

  3. 注意事项:不要为 admission webhook 配置设置此注解,因为不同的 webhook 需要指定不同的 CA 捆绑包。如果为 admission webhook 配置设置了此注解,则会为所有 webhook 注入这个服务 CA 捆绑包,这可能不是预期的行为。

以上步骤基于多个来源的证据,包括 OpenShift Container Platform 的安全性和合规性报告,以及 Kubernetes 和 OpenShift 的文档和社区讨论。

MutatingWebhookConfiguration 在灾难恢复中的应用案例有哪些?

MutatingWebhookConfiguration 在灾难恢复中的应用案例主要体现在其能够自动注入辅助容器或修改资源对象,从而增强系统的弹性和恢复能力。例如,Istio利用MutatingWebhookConfiguration可以在Pod创建时自动注入Envoy作为代理,这有助于在灾难发生后快速恢复服务。此外,MutatingWebhookConfiguration还可以用于在创建对象时检查并应用必要的配置,如nodeSelector,以确保在灾难恢复过程中,新创建的Pod能够正确地调度到合适的节点上。

然而,需要注意的是,MutatingWebhookConfiguration在某些情况下可能会导致问题。例如,在Tanzu Application Platform v1.4中,如果集群中的节点被降级为零,而MutatingWebhookConfiguration仍然存在,则可能导致无法启动任何Pod,因为某些组件需要webhook来验证其镜像签名,但webhook当前未运行。因此,在灾难恢复过程中,需要仔细检查和管理MutatingWebhookConfiguration的配置,以避免潜在的问题。

在OpenShift Container Platform 4.12中,备份和恢复功能要求检查MutatingWebhookConfiguration的配置,以确保其规则不会阻止出现问题的对象创建。这表明在灾难恢复过程中,MutatingWebhookConfiguration的正确配置和管理是至关重要的。

Kubernetes开发(4)-webhook 实现拦截请求
zyxpaomian的博客
06-01 2083
什么是webhook Kubernetes 通过rbac进行权限控制,实现了哪些account对哪些资源具有哪些权限的控制,但它并不是万能的, 因为rbac控制的操作权限类型是有限的,需要再进行一些细化的权限管控就无从下手了,比如需要限制一些controller只能从制定的harbor进行image的下载,比如需要限制一些controller只能使用指定范围的端口号等,所幸Kubernetes在各个方面都可以进行一些自定义的开发,而webhook就是用来实现类似需求的。 webhook官网介绍 先看下官网的
Kubernetes 拦截器
weixin_42020487的博客
01-14 851
在 Kubernetes 中,和是两种用于对 API 请求进行动态拦截和处理的 Webhook 配置。它们通常用于实现自定义的审查、修改或验证逻辑,从而扩展 Kubernetes 的功能。是一种 Webhook,用于在资源对象被存储到 etcd 之前修改其配置。这种 Webhook 允许动态地调整用户提交的资源对象。
k8s-mutating-webhook
03-10
Kubernetes突变Webhook
k8s 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
qq_35679620的博客
05-19 2829
k8s 资源对象实现超卖 基于MutatingWebhookConfiguration实现node超卖和sidecar注入
MutatingWebhookConfiguration升级
u011739062的博客
09-27 1010
1.GitHub - caesarxuchao/example-webhook-admission-controller: An example of Kubernetes wehbook admission extensionAn example of Kubernetes wehbook admission extension - GitHub - caesarxuchao/example-webhook-admission-controller: An example of Kubernetes we
【 Kubernetes 风云录 】- MutatingWebhook 实现自动注入
ycloud
03-19 745
目的为了将链路上的所有服务在不调整控制器的前提下,为其运行的 Pod 自动添加特定的 label,目前考虑的方案是通过 MutatingAdmissionWebhook 实现,在 Pod 创建时动态注入指定的 label,从而实现统一标识和管理的目的。
开发一个MutatingWebhook
leason的博客
08-06 1242
Webhook就是一种HTTP回调,用于在某种情况下执行某些动作,Webhook不是K8S独有的,很多场景下都可以进行Webhook,比如在提交完代码后调用一个Webhook自动构建docker镜像准入 Webhook 是一种用于接收准入请求并对其进行处理的 HTTP 回调机制。可以定义两种类型的准入 Webhook, 即验证性质的准入 Webhook 和变更性质的准入 Webhook。变更性质的准入 Webhook 会先被调用。它们可以修改发送到 API 服务器的对象以执行自定义的设置默认值操作。
MutatingWebhookConfiguration rancher.cattle.io 、 MutatingWebhookConfiguration rancher.cattle.io 是k8s创建的吗,不能创建namespace了,该怎么半
02-18
好的,我现在需要帮助用户解决关于MutatingWebhookConfiguration rancher.cattle.io的问题,以及无法创建namespace的情况。首先,我应该回顾一下用户的问题。用户提到,这个MutatingWebhookConfiguration是...
k8s的SA与secret的区别与联系是什么?请举例说明MutatingWebhookConfiguration、node,并且举例寿命 role与sa与clusterrole的区别与联系
03-08
好的,我现在要回答用户的问题,关于Kubernetes中的几个概念:ServiceAccount(SA)和Secret的区别与联系,以及MutatingWebhookConfiguration、Node的举例,还有Role、ServiceAccount和ClusterRole的区别与联系。...
k8s 的admission webhook 部署在集群外,如何创建ssl 文件
Standup-jb的博客
01-18 1055
背景 一般情况下,对于webhook服务都是部署在k8s的集群内部的,但是我们这边有需要,需要部署在集群外面的物理机上,但是在MutatingWebhookConfiguration 里面只能配置https,所以需要自己签发证书。整个过程还是踩了坑。把过程记录下来。照着做肯定能成功。 安装cfssl 这个就不放具体的方法了,Google搜索一下。安装后执行一下命令 cfssl version 如果能正常显示如下,就代表安装好了 Version: 1.4.1 Runtime: go1.13.4 使用如下命令
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
Kubernetes Admission Controller Webhook演示 这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份运行容器,但是Webhook确保只有在Pod的securityContext runAsNonRoot设置显式设置为false ,才有可能。 如果没有为runAsNonRoot设置任何值,那么将应用默认值true ,并且用户ID默认为1234 。 先决条件 可以在其上测试该示例的集群必须运行Kubernetes 1.9.0或更高版本,并且启用了admissionregistration.k8s.io/v1beta1 API。 您可以通过观察以下命令产生的非空输出来验证: kubectl api-versions | grep
MutatingWebhookConfiguration是做什么的用的
小诸葛的博客
10-11 730
是 Kubernetes 中的一种资源,用来配置动态的、可变的 Webhook,这些 Webhook 可以在资源被创建、修改时自动进行修改。主要用于当创建或更新 Kubernetes 资源(如 Pod、Service 等)时,通过调用外部的 Webhook 服务来修改或注入一些内容。它的主要用途是,这可以让集群自动化地执行一些修改操作。例如,在 Istio 中,用于在 Pod 被创建时自动注入 Istio 的 Sidecar 容器(),这就是 Istio 的 Sidecar 自动注入机制。
在本地节点调试webhook
fayeestone的博客
09-17 2118
引言 通过operator SDK创建的webhook默认使用的service的方式访问webhook server,这需要将webhook部署到k8s上才能工作。对于开发的初级阶段,往往需要在反复修改调试代码,每次将webhook部署到k8s上很不方便。本节将介绍在本地调试webhook的方法。 原理 webhook分别为两部分,其一是能够处理https请求的web服务器,以及webhook请求的处理程序;其二是在k8s上声明哪些资源对象状态变化需要调用webhook请求,该功能通过创建mutatingw
webhook 失败策略
MaoVazquez的博客
12-08 625
字段设置了当 webhook 无法处理或逻辑处理结果为错误的时候,后续资源的走向。在 webhook configuration 配置文件中,
Kubernetes Webhook必要知识点:原理、配置与实践
最新发布
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
03-28 1349
Kubernetes Webhook必要知识点:原理、配置与实践
【k8s admission学习】项目说明
叮当猫的喵i
10-07 570
这两个资源会在 pod 、 deployment、service 创建时校验,若不删除,会影响这些资源的创建。通过 WHITELIST_REGISTRIES 指定镜像白名单的配置。校验镜像的来源是否是白名单内,不在白名单内就阻断 pod 创建。目前在 webhook 中实现的逻辑是。
Kubernetes WebHook 入门 -- 入门案例: apiserver 接入 github
aifeier的博客
01-09 3282
Kubernetes API 服务器验证并配置 API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 API 服务器为 REST 操作提供服务,并为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互。
k8s学习-kubectl命令常用选项详解与实战
关注网络安全、云原生安全
05-08 5027
目录概述语法资源类型输出选项实战基本命令creategeteditdelete集群管理cluster-infotopcordon && uncordondraintaint高级命令applyreplace故障诊断和调试describelogsexec设置命令label其他命令version参考 概述 语法 kubectl [command] [TYPE] [NAME] [flags] command: 指定要对资源执行的操作,例如,create、get、describe和delete
Kubernetes Admission Webhook Validating 与 mutating 实践
爱死亡机器人
01-06 3831
以非root运行pod 需求 Kubernetes 的很多默认设置是为了便于使用,有时它们会牺牲一定的安全性。因为按照默认设置,容器一般是以 root 身份运行的(即便没有进一步配置,Dockerfile 中也没有指令)。 尽管容器在一定程度上与底层主机隔离,但这样确实会增加部署风险,比如去年曝光的 runC 漏洞(CVE-2019-5736),它被利用的原因之一就是容器内进程都是以 root 权限运行的。 下面我们以这个问题为例,一起利用准入控制器 webhook 建立自定义安全策略。 为了解决上述问题,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值