动态准入 Webhook 概述

 2 分钟阅读    页面测试

来自 Kubernetes 变异和验证 Webhook 机制

Istio 使用 ValidatingAdmissionWebhooks 来验证 Istio 配置,使用 MutatingAdmissionWebhooks 来自动将 Sidecar 代理注入用户 Pod。

Webhook 设置指南假设您对 Kubernetes 动态准入 Webhook 有基本了解。请参阅 Kubernetes API 参考,以获取有关 变异 Webhook 配置验证 Webhook 配置 的详细文档。

验证动态准入 Webhook 先决条件

请参阅 平台设置说明,以获取 Kubernetes 提供商特定设置说明。如果集群配置错误,Webhook 将无法正常运行。如果集群已配置并且动态 Webhook 和相关功能无法正常运行,则可以按照以下步骤操作。

  1. 请确认您正在使用 受支持版本(1.28、1.29、1.30、1.31)的 kubectl 和 Kubernetes 服务器。

    $ kubectl version --short
Client Version: v1.29.0
Server Version: v1.29.1

  2. admissionregistration.k8s.io/v1 应该被启用。

    $ kubectl api-versions | grep admissionregistration.k8s.io/v1
admissionregistration.k8s.io/v1

  3. 请确认 MutatingAdmissionWebhookValidatingAdmissionWebhook 插件列在 kube-apiserver --enable-admission-plugins 中。访问此标志是 特定于提供商的

  4. 请确认 Kubernetes api-server 能够与 webhook pod 建立网络连接。例如,错误的 http_proxy 设置可能会干扰 api-server 的操作(有关更多信息,请参见相关问题 这里这里)。

这些信息对您有帮助吗?
您有什么改进建议吗?

感谢您的反馈!