Visión General de Dynamic Admission Webhooks
De los mecanismos de validating y mutating webhook de Kubernetes:
Istio usa ValidatingAdmissionWebhooks
para validar configuración de Istio
y MutatingAdmissionWebhooks
para inyectar automáticamente el sidecar proxy en pods de usuario.
Las guías de configuración de webhook asumen familiaridad general con Kubernetes Dynamic Admission Webhooks. Consulta las referencias de API de Kubernetes para documentación detallada de la Configuración de Mutating Webhook y Configuración de Validating Webhook.
Verificar prerrequisitos de dynamic admission webhook
Ve las instrucciones de configuración de plataforma para instrucciones de configuración específicas del proveedor de Kubernetes. Los webhooks no funcionarán correctamente si el cluster está mal configurado. Puedes seguir estos pasos una vez que el cluster haya sido configurado y los webhooks dinámicos y características dependientes no estén funcionando correctamente.
Verifica que estés usando una versión soportada (1.29, 1.30, 1.31, 1.32, 1.33) de
kubectl
y del servidor de Kubernetes:$ kubectl version --short Client Version: v1.29.0 Server Version: v1.29.1
admissionregistration.k8s.io/v1
debe estar habilitado$ kubectl api-versions | grep admissionregistration.k8s.io/v1 admissionregistration.k8s.io/v1
Verifica que los plugins
MutatingAdmissionWebhook
yValidatingAdmissionWebhook
estén listados en elkube-apiserver --enable-admission-plugins
. El acceso a esta bandera es específico del proveedor.Verifica que el kube-apiserver de Kubernetes tenga conectividad de red al pod webhook. Por ejemplo, configuraciones incorrectas de
http_proxy
pueden interferir con la operación del api-server (ve problemas relacionados aquí y aquí para más información).