Kubernetes AdmissionWebhook

什么是AdmissionWebhook？

        什么是AdmissionWebhook，就要先了解K8S中的admission controller, 按照官方的解释是： admission controller是拦截(经过身份验证)API Server请求的网关，并且可以修改请求对象或拒绝请求。简而言之，它可以认为是拦截器，类似web框架中的middleware。

为什么使用 admission webhook？

        kubernetes的admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前用户可以对指定资源做校验、修改等操作。应用场景 eg：接入sidecar、设置默认的servceaccount、设置quota等等。

总体来说，admission-plugins分为三大类：

1.修改类型(mutating)

2.验证类型(validating)

3.既是修改又是验证类型(mutating&validating)

这些admission plugin构成一个顺序链，先后顺序决定谁先调用，但不会影响使用。

这里关心的plugin有两个：

一、MutatingAdmissionWebhook, ValidatingAdmissionWebhook

• MutatingAdmissionWebhook: 做修改操作的AdmissionWebhook 
• ValidatingAdmissionWebhook: 做验证操作的AdmissionWebhook

引用kubernetes官方博客的一张图来说明MutatingAdmissionWebhook和ValidatingAdmissionWebhook所处的位置:

解释下这个过程：

1.api请求到达K8S API Server

2.请求要先经过认证

• kubectl调用需要kubeconfig
• 直接调用K8S api需要证书或者bearToken
• client-go调用也需要kubeconfig

3.执行一连串的admission controller，包括MutatingAdmissionWebhook和ValidatingAdmissionWebhook, 先串行执行MutatingAdmission的Webhook list

4.对请求对象的schema进行校验

5.并行执行ValidatingAdmission的Webhook list

6.最后写入etcd

 应用场景：

• 自动打标签 比如启动一个应用，应用包括deployment、service、ingress； 怎么快速过滤出哪些资源属于应用? 在K8S中，pod、service、ingress 都是独立的资源，通过给这些资源打上label，是最快速的方式。
• 自动注入sidecar容器 应用启动后，应用的监控、日志如何处理？借助sidecar容器注入到其pod中
• 设置默认的servceaccount、设置quota等等。

参考：https://mp.weixin.qq.com/s/Z6ucuqNs2rOaPzwhvW-bmw

参考：https://cloud.tencent.com/developer/article/1445760

参考：https://kubernetes.io/zh/docs/reference/access-authn-authz/extensible-admission-controllers/