Cloud Expert
Kubernetes Admission Webhooks¶
KubernetesWebhooksSecurityPolicy 5 min čtení
Validating a Mutating admission webhooks. Policy enforcement, auto-injection a bezpečnost v K8s clusteru.
Typy Webhooků¶
Admission webhooky intercepují API requesty před uložením do etcd:
- Mutating — modifikuje objekt (injection sidecar, přidání labels)
- Validating — validuje a případně odmítne (policy enforcement)
Pořadí: Mutating → Validating → Persist to etcd
Validating Webhook¶
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
name: deny-latest-tag
webhooks:
- name: deny-latest.example.com
rules:
- apiGroups: [""]
apiVersions: ["v1"]
operations: ["CREATE", "UPDATE"]
resources: ["pods"]
clientConfig:
service:
name: webhook-server
namespace: system
path: /validate
caBundle: LS0tLS1...
admissionReviewVersions: ["v1"]
sideEffects: None
failurePolicy: Fail
Mutating Webhook¶
Istio a další service mesh používají mutating webhook k automatické injekci sidecar proxy do každého podu v označeném namespace.
- JSON Patch operace pro přidání kontejnerů
- Automatická injekce certifikátů
- Přidání environment variables a volume mounts
Shrnutí¶
Admission webhooks jsou mocný nástroj pro policy enforcement a automatizaci v K8s. Validating vynucují pravidla, mutating automaticky modifikují objekty.
Potřebujete pomoct s implementací?¶
Náš tým má zkušenosti s návrhem a implementací moderních architektur. Rádi vám pomůžeme.