Kubernetes 准入控制 Admission Controller 介绍

本文涉及的产品
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
简介: 1.什么是Admission Controller Admission Controller(准入控制)是 Kubernetes API Server 用于拦截请求的一种手段。Admission可以做到对请求的资源对象进行校验,修改。

1.什么是Admission Controller

Admission Controller(准入控制)是 Kubernetes API Server 用于拦截请求的一种手段。Admission可以做到对请求的资源对象进行校验,修改。service mesh最近很火的项目Istio天生支持Kubernetes,利用的就是admission对服务实例自动注入sidecar。

假如对 Kubernetes 有一定的了解的话,应该会知道在 Kubernetes 中还有 authn/authz,为什么还会引入 admission 这种机制?

1)authn/authz 是 Kubernetes 的认证鉴权,运行在 filter 中,只 能获取 http 请求 header 以及证书,并不能获取请求的 body。所以 authn/authz 只能对客户端进行认证和鉴权,不可以对请求的对象进行任何操作,因为这里根本还获取不到对象。 2)Admission 运行在 API Server 的增删改查 handler 中,可以自然地操作 API resource。

下面将对 Admission Controller 工作流做一番详解。

API Server 接收到客户端请求后首先进行认证鉴权,认证鉴权通过后才会进行后续的endpoint handler处理。
  • 当API Server 接收到对象后首先根据 http 的路径可以知道对象的版本号,然后将 request body 反序列化成 versioned object.
  • versioned object 转化为 internal object,即没有版本的内部类型,这种资源类型是所有 versioned 类型的超集。只有转化为 internal 后才能适配所有的客户端 versioned object 的校验。
  • Admission Controller 具体的 admit 操作,可以通过这里修改资源对象,例如为 Pod 挂载一个默认的 Service Account 等。 4)API Server internal object validation,校验某个资源对象数据和格式是否合法,例如:Service Name 的字符个数不能超过63等。 5)Admission Controller validate,可以自定义任何的对象校验规则。 6)internal object 转化为 versioned object,并且持久化存储到 etcd。

注:以上 versioned object 和 internal object 直接的转换关系会在《深度剖析Kubernetes API Server三部曲 - part 2》详细解释,欢迎持续关注。

2.如何使用 admission controller

Kubernetes 1.10之前的版本可以使用--admission-control 打开 Admission Controller。同时--admission-control 的顺序决定 Admission 运行的先后。其实这种方式对于用户来讲其实是挺复杂的,因为这要求用户对所有的 Admission Controllers 需要完全了解。

如果使用Kubernetes 1.10之后的版本,--admission-control 已经废弃,建议使用 --enable-admission-plugins --disable-admission-plugins 指定需要打开或者关闭的 Admission Controller。 同时用户指定的顺序并不影响实际 Admission Controllers 的执行顺序,对用户来讲非常友好。

值得一提的是,有些 Admission Controller 可能会使用 Alpha 版本的 API,这时必须首先使能其使用的 API 版本。否则 Admission Controller 不能工作,可能会影响系统功能。

2.1 webhook admission

目前 Kubernetes 中已经有非常多的 Admission 插件, 但是并不能保证满足所有开发者的需求。 众所周知,Kbernetes 之所以受到推崇,它的可扩展能力功不可没。Admission 也提供了一种 webhook 的扩展机制。

  • MutatingAdmissionWebhook:在对象持久化之前进行修改
  • ValidatingAdmissionWebhook:在对象持久化之前进行

可能有读者接触过另外一种动态可扩展的机制 Initializers,不过至今还是 Apha 特性,社区讨论有可能会把它移除。所以选择动态 Admission 首选 webhook。

2.2 如何使用webhook admission

Webhook Admission 属于同步调用,需要用户部署自己的 webhook server,创建自定义的配置资源对象: ValidatingWebhookConfiguration 或 MutatingWebhookConfiguration。

  • 开发webhook server

这里我推荐参考社区 e2e 测试用的 server,对细节源代码感兴趣的读者可以自行参考 github.com/kubernetes/…,这里面利用 golang 标准库实现的一个基本的 http server,并注册多个路由,同时服务于多种 resource 的准入控制。重点关注一下资源对象的 decode 过程,这是k8s apimachinery 的高级功能。利用了 apimachinery 的 scheme 的能力,使用之前必须要将 api 注册到 scheme 中,代码详见: github.com/kubernetes/…。一个典型的 webhook 修改资源对象(Pod)的样例代码如下所示。

 func mutatePods(ar v1beta1.AdmissionReview) *v1beta1.AdmissionResponse {
 glog.V(2).Info("mutating pods")
 podResource := metav1.GroupVersionResource{Group: "", Version: "v1", Resource: "pods"}
 if ar.Request.Resource != podResource {
 glog.Errorf("expect resource to be %s", podResource)
 return nil
 }

 raw := ar.Request.Object.Raw
 pod := corev1.Pod{}
 deserializer := codecs.UniversalDeserializer()
// pod的解码,利用apimachinery
 if _, _, err := deserializer.Decode(raw, nil, &pod); err != nil {
 glog.Error(err)
 return toAdmissionResponse(err)
 }
 reviewResponse := v1beta1.AdmissionResponse{}
 reviewResponse.Allowed = true if pod.Name == "webhook-to-be-mutated" {
 reviewResponse.Patch = []byte(addInitContainerPatch)
 pt := v1beta1.PatchTypeJSONPatch
 reviewResponse.PatchType = &pt
 }
 return &reviewResponse
 }
复制代码
  • 部署webhook server
# kubectl create –f webhook-server.yaml 复制代码
apiVersion: v1
kind: Namespace
metadata:
 name: e2e-tests-webhook-gbgt6
spec:
 finalizers:
 - kubernetes
---
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
 labels:
 app: sample-webhook
 webhook: "true"
 name: sample-webhook-deployment
 namespace: e2e-tests-webhook-gbgt6
spec:
 replicas: 1
 selector:
 matchLabels:
 app: sample-webhook
 webhook: "true"
 template:
 metadata:
 labels:
 app: sample-webhook
 webhook: "true"
 spec:
 containers:
 - args:
 - --tls-cert-file=/webhook.local.config/certificates/tls.crt
 - --tls-private-key-file=/webhook.local.config/certificates/tls.key
 - --alsologtostderr
 - -v=4
 - 2>&1
 image: gcr.io/kubernetes-e2e-test-images/k8s-sample-admission-webhook-amd64:1.10v2
 imagePullPolicy: IfNotPresent
 name: sample-webhook
 volumeMounts:
 - mountPath: /webhook.local.config/certificates
 name: webhook-certs
 readOnly: true
 volumes:
 - name: webhook-certs
 secret:
 defaultMode: 420
 secretName: sample-webhook-secret
---
apiVersion: v1
kind: Service
metadata:
 labels:
 test: webhook
 name: e2e-test-webhook
 namespace: e2e-tests-webhook-gbgt6
spec:
 ports:
 - port: 443
 protocol: TCP
 targetPort: 443
 selector:
 webhook: "true"
 sessionAffinity: None
 type: ClusterIP
复制代码

创建 webhook server Deployment 以及 Service,供 API Server 调用。

  • 创建MutatingWebhookConfiguration
# kubectl create –f webhook-config.yaml 复制代码

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
 name: e2e-test-mutating-webhook-pod
webhooks:
- clientConfig:
 caBundle: LS0tLS1CRUdJTiBDRVJUSUZJQ0FURS0tLS0tCk1JSUMyRENDQWNDZ0F3SUJBZ0lCQURBTkJna3Foa2lHOXcwQkFRc0ZBREFkTVJzd0dRWURWUVFERXhKbE1tVXQKYzJWeWRtVnlMV05sY25RdFkyRXdIaGNOTVRnd056RTVNRGMwT1RJeFdoY05Namd3TnpFMk1EYzBPVEl4V2pBZApNUnN3R1FZRFZRUURFeEpsTW1VdGMyVnlkbVZ5TFdObGNuUXRZMkV3Z2dFaU1BMEdDU3FHU0liM0RRRUJBUVVBCkE0SUJEd0F3Z2dFS0FvSUJBUURFVVFEWVN6SGl3SUFHU1dHSWRBSmVBbnMrNFhaYjlZc3VuQlBVTkJPdHZqeFoKV3NSbUxydE0zVU9lcEszeGsvMzZCSS96RkdXdUNpMlJ0TWUxSWtEa2tVMzNEZE83K0ExVyt2NVZNVnFqL0lDTApsc29USml3TFhTcGowTHNwSUNVdGtqT1dlRjVhK3lJVHgyR01TMG9ZbWtuaHB0RXMrc2tKQjFMWm1uVTBaWFpzClRKak9Lb05ueHdVaTl4QnRUTXBQRWw2cVhmb3dCWlpvYjlkUzNtNzFLbjJCdU5Ec0s3YnVRcGJvdk9XdUQyNDAKdzNLQVJnT04xcjA4Vm4zd1I1MHVXS09tSkVsLzRUZ2JnSTRkaG85WHNIWUhUdnk4R3JRMXhYZE43ZEhSTlpHNQo5aDhmOUUzdjg1VWxwSEVWQThqUHB4RE5SSm9qRXVGQk9raFJEZEY1QWdNQkFBR2pJekFoTUE0R0ExVWREd0VCCi93UUVBd0lDcERBUEJnTlZIUk1CQWY4RUJUQURBUUgvTUEwR0NTcUdTSWIzRFFFQkN3VUFBNElCQVFDWWl4VUsKYkhsRUpCK2t4THdqdktySDQ1OVVsNUJjb0VXZE1BNnArUC8yWXVZa2NuWC9GRVNjUFRxUS9vdkF3ejU1ZG1FUwpJTjVZOWd2ZlJxdWhZcEdWOHVFSWpzVkczTjdKQm1wM0NyclEyd3FYeHV3cndkVXV1dDltQSt2RkQ4Q2FQSE8xCmVad1J6NEkzTktFQ0xHMHJXQWxseEVvUm9tQ2UvaWZIUnRNRklTRk5sSnZVNlhIbzFDVWNFQ2FwOG9hYXN2cFcKT2JBQjVqQzc5WWJXN2lWVm54cjZGMnRvOG9oSEdNSEpXR1pwSTNKbVpNbGVOK01kVm5ySFdXSXBkOG9iS2E3TgpqSlZTczgzRmlDMzd4d2dqMUQyaTNHUnh5bHNKZEdJWTl4WVpQVmNNUTh6Z2FMMUpJUk1BdVZYbHczUkRzSDR0Cms5WmFybGY1NG9BOUN0Nk8KLS0tLS1FTkQgQ0VSVElGSUNBVEUtLS0tLQo=
 service:
 name: e2e-test-webhook
 namespace: e2e-tests-webhook-gbgt6
 path: /mutating-pods
 failurePolicy: Ignore
 name: adding-init-container.k8s.io
 namespaceSelector: {}
 rules:
 - apiGroups:
 - ""
 apiVersions:
 - v1
 operations:
 - CREATE
 resources:
 - pods
 - 
复制代码

rules 表示对于 core/v1/pods 资源对象创建的时候调用 mutating webhook。server 的地址及路径通过 clientConfig 指明。

/mutating-pods是指调用 webhook server 执行 mutatePods,为 pod 增加 init initContainers。

func mutatePods(ar v1beta1.AdmissionReview) *v1beta1.AdmissionResponse {
 glog.V(2).Info("mutating pods")
 podResource := metav1.GroupVersionResource{Group: "", Version: "v1", Resource: "pods"}
 if ar.Request.Resource != podResource {
 glog.Errorf("expect resource to be %s", podResource)
 return nil
 }

 raw := ar.Request.Object.Raw
 pod := corev1.Pod{}
 deserializer := codecs.UniversalDeserializer()
 if _, _, err := deserializer.Decode(raw, nil, &pod); err != nil {
 glog.Error(err)
 return toAdmissionResponse(err)
 }
 reviewResponse := v1beta1.AdmissionResponse{}
 reviewResponse.Allowed = true if pod.Name == "webhook-to-be-mutated" {
 reviewResponse.Patch = []byte(addInitContainerPatch)
 pt := v1beta1.PatchTypeJSONPatch
 reviewResponse.PatchType = &pt
 }
 return &reviewResponse
}
复制代码

创建Pod

kubectl create –f pod.yaml
复制代码
apiVersion: v1
kind: Pod
metadata:
 name: webhook-to-be-mutated
 namespace: e2e-tests-webhook-gbgt6
spec:
 containers:
 - image: k8s.gcr.io/pause:3.1
 name: example
复制代码

查询Pod

# kubectl get pod webhook-to-be-mutated –n e2e-tests-webhook-gbgt6 -oyaml 复制代码
apiVersion: v1
kind: Pod
metadata:
 creationTimestamp: 2018-07-19T07:49:37Z
 name: webhook-to-be-mutated
 namespace: e2e-tests-webhook-gbgt6
 resourceVersion: "806"
 selfLink: /api/v1/namespaces/e2e-tests-webhook-gbgt6/pods/webhook-to-be-mutated
 uid: 48d2e91d-8b28-11e8-b16d-286ed488dc10
spec:
 containers:
 - image: k8s.gcr.io/pause:3.1
 imagePullPolicy: IfNotPresent
 name: example
 resources: {}
 terminationMessagePath: /dev/termination-log
 terminationMessagePolicy: File
 volumeMounts:
 - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
 name: default-token-jhqlb
 readOnly: true
 dnsPolicy: ClusterFirst
 initContainers:
 - image: webhook-added-image
 imagePullPolicy: Always
 name: webhook-added-init-container
 resources: {}
 terminationMessagePath: /dev/termination-log
 terminationMessagePolicy: File
 nodeName: 127.0.0.1
 priority: 0
 restartPolicy: Always
 schedulerName: default-scheduler
 securityContext: {}
 serviceAccount: default
 serviceAccountName: default
 terminationGracePeriodSeconds: 30
 tolerations:
 - effect: NoExecute
 key: node.kubernetes.io/not-ready
 operator: Exists
 tolerationSeconds: 300
 - effect: NoExecute
 key: node.kubernetes.io/unreachable
 operator: Exists
 tolerationSeconds: 300
 volumes:
 - name: default-token-jhqlb
 secret:
 defaultMode: 420
 secretName: default-token-jhqlb
复制代码

可以看出,创建成功的pod已经多了一个名字为 webhook-added-init-container的initContainers

3.总结

最后我们来总结下 webhook Admission 的优势

  • webhook 可动态扩展 Admission 能力,满足自定义客户的需求

  • 不需要重启 API Server,可通过创建 webhook configuration 热加载 webhook admission。


本文转自掘金- Kubernetes 准入控制 Admission Controller 介绍
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
相关文章
|
1月前
|
Kubernetes 负载均衡 应用服务中间件
k8s学习--ingress详细解释与应用(nginx ingress controller))
k8s学习--ingress详细解释与应用(nginx ingress controller))
179 0
|
2月前
|
Kubernetes 安全 开发工具
Kubernetes系统安全-准入控制(admission control)
文章详细介绍了Kubernetes中的准入控制机制,包括各种准入控制器的功能、如何创建和使用LimitRange和ResourceQuota资源,以及PodSecurityPolicy和准入控制器扩展的使用方法。
38 1
Kubernetes系统安全-准入控制(admission control)
|
3月前
|
弹性计算 运维 Kubernetes
Kubernetes(K8S) Controller - Deployment 介绍
Kubernetes(K8S) Controller - Deployment 介绍
38 1
|
3月前
|
Kubernetes 容器 Perl
在K8S中,Replica Set和Replication Controller之间有什么区别?
在K8S中,Replica Set和Replication Controller之间有什么区别?
|
3月前
|
存储 Kubernetes 关系型数据库
Kubernetes(K8S) Controller - StatefulSet、DaemonSet 介绍
Kubernetes(K8S) Controller - StatefulSet、DaemonSet 介绍
34 0
|
6月前
|
运维 Kubernetes 容灾
kubernetes核心技术之Controller控制器知识总结
kubernetes核心技术之Controller控制器知识总结
60 1
|
6月前
|
消息中间件 Kubernetes 监控
kubernetes—Controller详解(二)
kubernetes—Controller详解(二)
84 0
|
5天前
|
Kubernetes 监控 Cloud Native
Kubernetes集群的高可用性与伸缩性实践
Kubernetes集群的高可用性与伸缩性实践
22 1
|
26天前
|
JSON Kubernetes 容灾
ACK One应用分发上线:高效管理多集群应用
ACK One应用分发上线,主要介绍了新能力的使用场景
|
27天前
|
Kubernetes 持续交付 开发工具
ACK One GitOps:ApplicationSet UI简化多集群GitOps应用管理
ACK One GitOps新发布了多集群应用控制台,支持管理Argo CD ApplicationSet,提升大规模应用和集群的多集群GitOps应用分发管理体验。
下一篇
无影云桌面