Kubernetes AdmissionWebhook

什么是AdmissionWebhook?

        什么是AdmissionWebhook,就要先了解K8S中的admission controller, 按照官方的解释是: admission controller是拦截(经过身份验证)API Server请求的网关,并且可以修改请求对象或拒绝请求。简而言之,它可以认为是拦截器,类似web框架中的middleware。

为什么使用 admission webhook?

        kubernetes的admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前用户可以对指定资源做校验、修改等操作。应用场景 eg:接入sidecar、设置默认的servceaccount、设置quota等等。

总体来说,admission-plugins分为三大类:

1.修改类型(mutating)

2.验证类型(validating)

3.既是修改又是验证类型(mutating&validating)

这些admission plugin构成一个顺序链,先后顺序决定谁先调用,但不会影响使用。

这里关心的plugin有两个:

一、MutatingAdmissionWebhook, ValidatingAdmissionWebhook

  • MutatingAdmissionWebhook: 做修改操作的AdmissionWebhook 
  • ValidatingAdmissionWebhook: 做验证操作的AdmissionWebhook

引用kubernetes官方博客的一张图来说明MutatingAdmissionWebhook和ValidatingAdmissionWebhook所处的位置:

解释下这个过程:

1.api请求到达K8S API Server

2.请求要先经过认证

  • kubectl调用需要kubeconfig
  • 直接调用K8S api需要证书或者bearToken
  • client-go调用也需要kubeconfig

3.执行一连串的admission controller,包括MutatingAdmissionWebhook和ValidatingAdmissionWebhook, 先串行执行MutatingAdmission的Webhook list

4.对请求对象的schema进行校验

5.并行执行ValidatingAdmission的Webhook list

6.最后写入etcd

 应用场景:

  • 自动打标签 比如启动一个应用,应用包括deployment、service、ingress; 怎么快速过滤出哪些资源属于应用? 在K8S中,pod、service、ingress 都是独立的资源,通过给这些资源打上label,是最快速的方式。
  • 自动注入sidecar容器 应用启动后,应用的监控、日志如何处理?借助sidecar容器注入到其pod中
  • 设置默认的servceaccount、设置quota等等。

参考:https://mp.weixin.qq.com/s/Z6ucuqNs2rOaPzwhvW-bmw

参考:https://cloud.tencent.com/developer/article/1445760

参考:https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/

posted @ 2020-11-30 22:36  人艰不拆_zmc  阅读(2214)  评论(0编辑  收藏  举报