Огляд динамічних вебхуків допуску

З механізмів модифікуючих та валідаційних вебхуків Kubernetes:

Istio використовує ValidatingAdmissionWebhooks для перевірки конфігурації Istio та MutatingAdmissionWebhooks для автоматичного впровадження sidecar проксі у контейнери користувачів.

Посібники з налаштування вебхуків передбачають загальну обізнаність з Kubernetes Dynamic Admission Webhooks. Проконсультуйтеся з API-довідниками Kubernetes для отримання детальної документації про Mutating Webhook Configuration та Validating Webhook Configuration.

Перевірка передумов для динамічних вебхуків допуску

Дивіться інструкції з налаштування платформи для специфічних інструкцій постачальника з налаштування Kubernetes. Вебхуки не функціонуватимуть належним чином, якщо кластер налаштований неправильно. Ви можете виконати ці кроки після налаштування кластера, якщо динамічні вебхуки та залежні функції не працюють належним чином.

1. Перевірте, що ви використовуєте підтримувану версію (1.30, 1.31, 1.32, 1.33, 1.34) kubectl та сервера Kubernetes:

   $ kubectl version --short
   Client Version: v1.29.0
   Server Version: v1.29.1

2. admissionregistration.k8s.io/v1 має бути увімкнений

   $ kubectl api-versions | grep admissionregistration.k8s.io/v1
   admissionregistration.k8s.io/v1

3. Перевірте, що втулки MutatingAdmissionWebhook і ValidatingAdmissionWebhook є у списку kube-apiserver --enable-admission-plugins. Доступ до цього параметра є специфічним для постачальника.

4. Перевірте, чи має api-server Kubernetes мережеву зʼєднаність з podʼом вебхука. Наприклад, неправильні налаштування http_proxy можуть перешкоджати роботі api-server (див. повʼязані проблеми тутта тут для отримання додаткової інформації).