准入控制器是kubernetes中用于拦截并处理资源请求的插件,实现动态准入控制的关键手段之一是使用golang编写外部webhook类型的控制器。具体步骤包括:1.搭建基础结构,使用golang写一个监听/mutate和/validate路径的https webhook服务;2.解析请求内容,从admissionreview结构中提取资源信息;3.编写mutating逻辑(如为pod添加标签)和validating逻辑(如拒绝无资源限制的容器);4.部署到集群,配置validatingwebhookconfiguration并生成tls证书,确保服务可被访问。通过以上步骤即可完成基本的admission controller实现。
编写 Kubernetes 的 Admission Controller 是实现动态准入控制的关键手段之一。Golang 作为 Kubernetes 的原生开发语言,自然是首选。下面从几个关键点出发,带你了解如何用 Golang 实现一个基本的 K8s Admission Controller。
准入控制器是什么?为什么需要它?
Admission Controller(准入控制器)是 Kubernetes 中用于拦截并处理资源请求的插件。它可以修改或拒绝 API 请求,在对象被持久化之前进行额外校验或注入配置。例如:
在 Pod 创建时自动注入 sidecar 容器拒绝没有指定资源限制的容器校验自定义 CRD 是否符合规范
Kubernetes 支持内置和外部准入控制器,我们这里说的是构建外部的、可部署的 webhook 类型控制器。
立即学习“go语言免费学习笔记(深入)”;
搭建基础结构:写一个简单的 HTTP Server
Admission Controller 本质上是一个 HTTPS Webhook 服务,监听特定路径并返回响应。你不需要自己实现整个 Kubernetes API,只需要处理
/mutate
和
/validate
路径下的请求。
package mainimport ( "fmt" "net/http" "github.com/gin-gonic/gin")func main() { r := gin.Default() r.POST("/mutate", mutateHandler) r.POST("/validate", validateHandler) fmt.Println("Starting server on :443") // 注意:需要 TLS 证书 r.RunTLS(":443", "server.crt", "server.key")}
关键点:
必须使用 HTTPS,否则 Kubernetes 不会信任接口路径必须与 Kubernetes 配置中一致控制器应支持
/healthz
端点用于健康检查
解析请求内容:理解 AdmissionReview 结构
Kubernetes 发送的请求体是
AdmissionReview
对象,包含请求元数据和资源信息。你需要从中提取出原始资源内容(如 Pod、Deployment 等)。
type AdmissionReview struct { Request *AdmissionRequest `json:"request,omitempty"` Response *AdmissionResponse `json:"response,omitempty"`}type AdmissionRequest struct { UID string `json:"uid"` Kind metav1.GroupVersionKind `json:"kind"` Resource metav1.GroupVersionResource `json:"resource"` Object runtime.RawExtension `json:"object"`}
解析建议:
使用标准库中的
json.Unmarshal
或
k8s.io/apimachinery
工具解析提取
Object.Raw
字段后,再反序列化为具体的资源类型(如
Pod
)注意处理不同版本资源(比如 v1.Pod vs apps/v1.Deployment)
编写 Mutating 和 Validating 逻辑
Mutating 示例:给所有 Pod 添加标签
func mutatePod(raw []byte) ([]byte, error) { var pod corev1.Pod if err := json.Unmarshal(raw, &pod); err != nil { return nil, err } if pod.Labels == nil { pod.Labels = make(map[string]string) } pod.Labels["managed-by"] = "my-admission-controller" return json.Marshal(pod)}
然后构造 Patch,并封装成
AdmissionResponse
返回。
Validating 示例:拒绝没有资源限制的容器
遍历每个容器,检查
Resources.Limits
是否为空:
for _, container := range pod.Spec.Containers { if container.Resources.Limits.Cpu().IsZero() || container.Resources.Limits.Memory().IsZero() { return false, "container missing resource limits" }}
验证失败时,返回
AdmissionResponse{Allowed: false}
即可。
部署到集群:配置 ValidatingWebhookConfiguration
写好代码只是第一步,还需要在 Kubernetes 中注册这个 webhook。创建一个
ValidatingWebhookConfiguration
或
MutatingWebhookConfiguration
,示例片段如下:
apiVersion: admissionregistration.k8s.io/v1kind: ValidatingWebhookConfigurationmetadata: name: my-validatorwebhooks: - name: my-validator.example.com clientConfig: service: namespace: default name: my-admission-service caBundle: rules: - apiGroups: [""] apiVersions: ["v1"] resources: ["pods"] operationTypes: ["CREATE"] failurePolicy: Fail sideEffects: None timeoutSeconds: 5
注意点:
需要生成并部署 TLS 证书webhook 服务要能被 Kubernetes 控制平面访问(内网 IP 或公网域名)可以同时部署多个 webhook,按顺序执行
总结一下
实现一个 Admission Controller 并不复杂,但需要注意很多细节。主要包括:
实现一个安全的 HTTPS Webhook 服务正确解析和响应
AdmissionReview
编写清晰的 mutating 和 validating 逻辑部署并配置 webhook 到 Kubernetes 集群中
基本上就这些步骤。虽然看起来有点多,但每一步都不难,只要一步步来就行。
以上就是如何用Golang编写K8s Admission Controller 解析动态准入控制的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1398738.html
微信扫一扫 
支付宝扫一扫 
