动态准入 Webhook 概述

来自 Kubernetes 准入控制机制

Istio 使用 ValidatingAdmissionWebhooks 验证 Istio 配置,使用 MutatingAdmissionWebhooks 自动将 Sidecar 代理注入至用户 Pod。

Webhook 设置过程需要了解 Kubernetes 动态准入 Webhook 相关的知识。有关 Validating 和 Mutating Webhook 配置的详细文档,请参考 Kubernetes API

验证动态准入 Webhook 前置条件

请参阅平台设置说明。如果集群配置错误,Webhook 将无法正常工作。集群配置后,当动态 Webhook 和相关特性不能正常工作时,你可以通过以下步骤进行检查。

  1. 验证当前是否使用正确版本的 kubectl 和 Kubernetes 服务

    $ kubectl version --short
    Client Version: v1.10.2
    Server Version: v1.10.4-gke.0
    
  2. admissionregistration.k8s.io/v1beta1 应是启用状态

    $ kubectl api-versions | grep admissionregistration.k8s.io/v1beta1
    admissionregistration.k8s.io/v1beta1
    
  3. 验证 kube-apiserver --enable-admission-plugins 配置中插件 MutatingAdmissionWebhookValidatingAdmissionWebhook 是否被启用。通过检查指定规范中的标志(--enable-admission-plugins)。

  4. 验证 Kubernetes api-server 与 Webhook 所在 Pod 的网络连通是否正常。例如错误配置 http_proxy 可能干扰 api-server 正常运行(详细信息请参阅 prissue)。

这些信息有用吗?
Do you have any suggestions for improvement?

Thanks for your feedback!