动态准入 Webhook 概述
Istio 使用 ValidatingAdmissionWebhooks
验证 Istio 配置,使用 MutatingAdmissionWebhooks
自动将 Sidecar 代理注入至用户 Pod。
Webhook 设置过程需要了解 Kubernetes 动态准入 Webhook 相关的知识。有关 Validating 和 Mutating Webhook 配置的详细文档,请参考 Kubernetes API。
验证动态准入 Webhook 前置条件
请参阅平台设置说明。如果集群配置错误,Webhook 将无法正常工作。集群配置后,当动态 Webhook 和相关特性不能正常工作时,你可以通过以下步骤进行检查。
验证当前是否使用正确版本的
kubectl
和 Kubernetes 服务$ kubectl version --short Client Version: v1.10.2 Server Version: v1.10.4-gke.0
admissionregistration.k8s.io/v1beta1
应是启用状态$ kubectl api-versions | grep admissionregistration.k8s.io/v1beta1 admissionregistration.k8s.io/v1beta1
验证
kube-apiserver --enable-admission-plugins
配置中插件MutatingAdmissionWebhook
和ValidatingAdmissionWebhook
是否被启用。通过检查指定规范中的标志(--enable-admission-plugins
)。验证 Kubernetes api-server 与 Webhook 所在 Pod 的网络连通是否正常。例如错误配置
http_proxy
可能干扰 api-server 正常运行(详细信息请参阅 pr 和 issue)。