1. 准入控制
一般我们操作Kubernetes资源的流程是如下这样的:
- API Server认证;
- API Server鉴权;
- APT Server实际处理请求并持久化到ETCD;
而准入控制则具有一种能力,它可以在认证、鉴权之后对象被持久化之前对请求进行拦截,只有这些准入控制都通过之后才允许放行请求。截止Kubernetes v1.17版本,它自身已经内置支持很多admission插件,详情可移步Kubernetes内置准入控制器列表,但这些不是笔者在此述说的重点,今天主要谈谈admission插件在实际环境的动态扩展实现:admission webhook。
2. Admission Webhook
Admission webhook 是一种用于接收准入请求并对其进行处理的 HTTP 回调机制。 可以定义两种类型的 admission webhook,即 validating admission webhook 和 mutating admission webhook。 Mutating admission webhook 会先被调用。它们可以更改发送到 API 服务器的对象以执行自定义的设置默认值操作。
在完成了所有对象修改并且 API 服务器也验证了所传入的对象之后,validating admission webhook 会被调用,并通过拒绝请求的方式来强制实施自定义的策略。
如下针对validating admission webhook做一个简单的实践。
3. 实践
本文实例源码可参考:https://github.com/VeinFu/admission_webhook_example
3.1 功能需求
创建Pod时,当这个Pod存在标签run: test-admission时则对该Pod其他标签进行校验,如果不存在必须满足的标签test-admission、admission-wenhook时则拦截该创建Pod的请求。
3.2 代码部分
代码很简单,主要用到如下两个golang库:net/http和k8s.io/api/admission/v1beta1,前者用来启动一个HTTPS Server,后者用来处理admission的请求和响应的。
具体代码的逻辑就不在此逐一分析了,如下几点简单说明一下:
- webhook服务是https协议接口,因此
Kubernetes API Server和Webhook Server之间要做TLS认证,这里直接使用了集群根证书颁发机构(CA)来进行证书的签发,具体操作步骤如下:
# 一般集群CA公私钥存放在master节点的/etc/kubernetes/ssl目录下
# 生成webhook server的私钥
openssl genrsa -out server.key 2048
# 创建webhook server csr
openssl req -new -key server.key -subj "/CN=admission-service.default.svc" -out server.csr
# 创建wenhook server证书
openssl x509 -req -in server.csr -CA /etc/kubernetes/ssl/ca.pem -CAkey /etc/kubernetes/ssl/ca-key.pem -CAcreateserial -out server.crt -days 10000
# 创建对应的secret
kubectl create secret generic webhook-server --from-file=server.key --from-file=server.crt
# 在部署webhook server应用时对此secret进行挂载,如此就可以实现kube-apiserver和webhook server的双向认证了。
- 上面进行证书签发时
common name填的是admission-service.default.svc,如此就得保证集群层面是可以识别到这个域名,借助Core-DNS可以解决这个问题,先获取core-dns服务对应的Cluster-IP,然后将其配置到域名配置文件/etc/resolv.conf中:
如果域名设置不生效可以尝试systemctl stop/disable Network-Manager。
3.3 部署
参照如下步骤即可:
# 部署webhook server应用
kubectl create -f admission-server-deploy.yaml
# 创建validationwebhook配置实例
kubectl create -f validate-config.yaml # 这个配置会存在caBundle的字段,值直接填入kubeconfig对应字段`certificate-authority-data`的值即可。
3.4 测试
简单测试一下:
测试1
[root@m01 ~] cat test_admission_pod00.yaml
kind: Pod
apiVersion: v1
metadata:
namespace: test-admisssion
name: nginx-app
spec:
containers:
- name: nginx
image: nginx
restartPolicy: "Always"
[root@m01 ~] cat test_admission_pod00.yaml | kubectl create -f -
pod/nginx-app created
[root@m01 ~] kubectl get pod -n test-admisssion
NAME READY STATUS RESTARTS AGE
nginx-app 1/1 Running 0 6s
[root@m01 ~]
很显然,这个pod没有标签run: test-admission,因此不受该validatewebhook的限制,与期望相符。
测试2
[root@m01 ~] cat test_admission_pod.yaml
kind: Pod
apiVersion: v1
metadata:
namespace: test-admisssion
name: nginx-app-test
labels:
run: test-admission
spec:
containers:
- name: nginx
image: nginx
restartPolicy: "Always"
[root@m01 ~] cat test_admission_pod.yaml | kubectl create -f -
Error from server (required label is not set): error when creating "STDIN": admission webhook "admission-service.default.svc" denied the request: required label is not set
[root@m01 ~]
这个pod具有标签run: test-admission但是没有其他必备的标签,因此该api请求被拦截导致创建pod失败,也与期望相符。
好啦,有关这次Kubernetes admission webhook的讲解就先到此了,后续有机会会继续深入同时做一个MutateWebhook的简单例子。
有疑问加站长微信联系(非本文作者)
