Visión General de Dynamic Admission Webhooks

De los mecanismos de validating y mutating webhook de Kubernetes:

Istio usa ValidatingAdmissionWebhooks para validar configuración de Istio y MutatingAdmissionWebhooks para inyectar automáticamente el sidecar proxy en pods de usuario.

Las guías de configuración de webhook asumen familiaridad general con Kubernetes Dynamic Admission Webhooks. Consulta las referencias de API de Kubernetes para documentación detallada de la Configuración de Mutating Webhook y Configuración de Validating Webhook.

Verificar prerrequisitos de dynamic admission webhook

Ve las instrucciones de configuración de plataforma para instrucciones de configuración específicas del proveedor de Kubernetes. Los webhooks no funcionarán correctamente si el cluster está mal configurado. Puedes seguir estos pasos una vez que el cluster haya sido configurado y los webhooks dinámicos y características dependientes no estén funcionando correctamente.

  1. Verifica que estés usando una versión soportada (1.29, 1.30, 1.31, 1.32, 1.33) de kubectl y del servidor de Kubernetes:

    $ kubectl version --short
    Client Version: v1.29.0
    Server Version: v1.29.1
  2. admissionregistration.k8s.io/v1 debe estar habilitado

    $ kubectl api-versions | grep admissionregistration.k8s.io/v1
    admissionregistration.k8s.io/v1
  3. Verifica que los plugins MutatingAdmissionWebhook y ValidatingAdmissionWebhook estén listados en el kube-apiserver --enable-admission-plugins. El acceso a esta bandera es específico del proveedor.

  4. Verifica que el kube-apiserver de Kubernetes tenga conectividad de red al pod webhook. Por ejemplo, configuraciones incorrectas de http_proxy pueden interferir con la operación del api-server (ve problemas relacionados aquí y aquí para más información).

¿Fue útil esta información?
¿Tienes alguna sugerencia para mejorar?

¡Gracias por tus comentarios!