【Kubernetes】基于SpringBoot的Mutating Admission Webhook Server实现

原创 已于 2022-01-21 15:53:17 修改 · 1.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #spring boot #java

于 2020-05-04 19:44:21 首次发布
  1. 背景
  2. 注意事项
  3. 思路
  4. 过程
  5. 2022/01/21 更新 toAdmissionReview方法

背景

公司内网的Kubernetes集群因为Istio sidecar的原因,经常会达到公司运维给我们组设置的资源上限。一个我们的业务服务通常由两部分容器组成,一个是我们真实对外服务的容器,另一个则是由Istio sidecar inject也就是Istio框架自动注入的Istio-sidecar。不提我们的业务容器,只针对Istio sidecar,他的resource/limit/cpu就被设置为了2,要知道我们组所属的namespace下,资源limit上限被设置为了100cpu,超过100之后服务就无法被部署成功。同时,作为一个内网的服务,他的上限也根本不用2,这一个较高的数字。

在Istio后续的1.4版本中,有一个专门为Pod.spec.resource.cpu.limit和memory设置的注解,但是在之前的版本中不提供这样的支持,所以只能通过我们自己来实现。最简单的方法自然是为每一个环境(内网或者外网)做一份不同的设置,考虑到我们服务过于多,一个一个添加不大科学,也不符合k8s不影响到业务集成过程的理念。综上所述,最终考虑到k8s原生支持的Mutating Admission Webhook来实现。

Mutating Admission Webhook对我而言,简而言之,就是Kube-api 在执行真正的部署命令之前,提前对你要部署的东西做一个修改。Istio的Istio sidecar injector也是通过这个来实现的。那对我来说,只要在Istio sidecar injector注入sider,也就是他对Pod做完修改之后,我在将他的istio proxy中的container.resource.cpu.limit修改为我要的值就好了。

在google和github上搜索一番,基本都是基于Go语言来实现Admission Webhook Server,没有发现有Java实现的,所以打算自己动手实现一个。

注意事项

  • 第一次搞Mutating Webhook Admission Webhook,可以将在Pod中注入一个新的Label作为成功标准
  • 接上条,可以把Webhook Admission Webhook Configuration中的failPolicy设置为Fail,即在Server端中有意外情况,算作失败,这样可以在Replicas看到部署失败的原因

思路

从官方文档上来说,比较关键的东西有三个

  1. Mutating Admission Webhook Configuration,一份Webhook的配置文件,他决定谁会被拦截,和将请求转发到那里去
  2. Mutating Admission Webhook Server,在本文中专指Springboot 实现的一个Server,他的作用是怎么修改即将要被部署的kubernetes 资源
  3. 请求,也就是第一点提供到谁会被拦截到的谁,一般来说是指某一个被打了特定label的namespace
    比较琐碎的细节,包括但不限于Kube-api 里面是否开启了admission webhook的限制,configuration和server的证书配置,server端要求返回的格式

过程

几个关键节点大概分为这几个历程

  1. Object生成请求拦截(这里就是Pod生成之前会给我们的server发消息)
  2. RequestBody 反序列化 (可以看到我们的server接收到k8s发来的消息是什么样子的)
  3. 尝试修改pod参数 (尝试修改一下pod的label)
  4. 尝试修改 istio-proxy resource参数

在第一个关键节点上我们理论上就应该完成大部分的工作,后面的过程是在做细节上的处理。

我的Configuration文件是这个样子的

apiVersion: admissionregistration.k8s.io/v1beta1
kind: MutatingWebhookConfiguration
metadata:
  name:
最低0.47元/天 解锁文章

200万优质内容无限畅学
Kubernetes开发(6)-MutatingAdmissionWebhook练手
zyxpaomian的博客
06-01 1264
之前写了一个简单的webhook 的tls server,并且写了一个简单的validate的api 用于实现资源的拦截。之前有提到webhook有两类,第二类就是mutatingadmissionwebhook,即对资源进行修改,仔细想想不会太意外,比如istio本质上不就是mutatingadmissionwebhook么,在启动的时候直接sidecar方式插入一个container,然后通过该container进行各类服务收集/治理,那练手的话可以自己插入一个redis 容器,模拟istio的side
K8S基于MutatingAdmissionWebhook实现资源超卖
rootlh的博客
03-22 7451
K8S基于MutatingAdmissionWebhook解决资源超卖问题资源超卖问题分析实现资源超卖的思路MutatingAdmissionWebhook特性MutatingWebhookConfiguration对象简介源码分析资源超卖算法实践参考资料 资源超卖问题分析 在生产环境中,kubernetes集群的计算节点上运行着许许多多的Pod,分别跑着各种业务容器,我们通常用Deploymen...
k8s Mutating Admission Webhook 实现超卖
最新发布
yztezhl的专栏
07-08 957
摘要:MutatingAdmissionWebhookKubernetes中用于拦截和修改API请求的插件,本文介绍了如何利用它实现CPU资源超卖功能。通过拦截Pod创建请求,获取节点资源分配情况,并设置超卖比例(如110%),当总请求超过物理容量时自动拒绝或调整请求。实现步骤包括开发Webhook核心逻辑、配置TLS认证、注册Webhook配置以及部署测试。该方法可与调度器插件配合,实现精细化的资源管理,同时建议结合Prometheus进行监控告警。(149字)
github-webhook-server:Github Webhook服务器
05-10
Github Webhook服务器 Github Webhook服务器。 安装 $ git clone https://github.com/kgryte/github-webhook-server.git 该应用程序在Node.js上运行。 在运行应用程序之前,通过执行以下命令来安装依赖项 $ make install 快速开始 启动应用程序服务器 $ npm start -- --secret < secret> --hook < module> 或者,从顶级应用程序目录 $ node ./bin/cli --secret < secret> --hook < module> | ./node_modules/.bin/bunyan 默认服务器port为0 ,在这种情况下,该端口在运行时随机分配。 要确定运行时port ,请参阅日志输出。 例如, [2015-04
应用容忍度至Kubernetes Pod的Mutating Admission Webhook
Mutating Admission Webhook实现中,服务器会监听来自Kubernetes API服务器的Webhook请求。当一个Pod被创建或更新时,Kubernetes API服务器将请求发送到Mutating Admission Webhook服务器。服务器根据Pod的标签...
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)
sxpnp的博客
01-09 1056
如有问题,以你为准
Kubernetes环境变量验证准入Webhook实现指南
在此场景下,“denyenv-validating-admission-webhook”是一个实现特定功能的Kubernetes准入webhook,它主要关注的是对Pod的创建请求进行环境变量的验证。具体来说,这个webhook的工作机制如下: 1. 当用户尝试创建...
k8s准入控制器Admission Webhook研究
weixin_47575974的博客
08-06 1630
k8s准入控制器Admission Webhook研究
webhook-server:Github WebHook 自动化部署工具
06-29
Github 自动项目更新工具 Usage (单一用作Github自动更新工具) 则运行 npm install webhook-server --save-dev screen cd node_modules/webhook-server npm start 然后关掉ssh远程命令行。 如果是想在Linux上长期挂着的话, 可以使用screen命令 具体内容就百度搜吧。 很容易的→_→ 更新的所有细节都会写入到项目目录下的log文件夹内。 作为Node 中间件 内置的hander.js 可以作为处理Webhook的中间件, 它暴露于一个接口, 同时也需要传进一个参数 var createHandler = require('./hander'); var handler = createHandler({ path : "/webhook" , 'secret' : "Enter you
webhook-server:通过 http 调用在您的服务器上触发程序脚本执行。 附带调度程序、模板和 Github 的 CI 支持
05-30
网络钩子服务器 这个小帮手有一个简单的目的:对传入的 http 请求在您的服务器上执行命令。 最初,它是为持续集成而设计的,并且开箱即用地支持 Github 的 webhooks。 到现在为止,Webhook-Server 还带有自定义调度程序。 默认情况下,调度程序会阻止并行部署和不必要的部署执行。 但是,如果您想将许多并行负载繁重的长时间运行任务排队,它允许您为每种类型指定并发任务的数量,以防止系统负担过重。 任务可以并行或一对一处理,可以根据 webhook 类型配置执行模式和并行进程数量。 示例应用程序: 项目的持续集成(支持 Github 的 webhooks)。 按需执行并行负载繁重的任务。 通过浏览器在您的服务器上触发任务。 以最少的设置在服务器之间触发任务。 看一下示例配置文件 。 安装 拱形Linux: 只需使用任何包管理器安装它,例如yay -S web
webhook-server:我们用来处理来自各种服务的入网钩子的快递服务器
04-30
Dank Memer的Webhook服务器 这是我们用来处理各种服务传入的Webhooks的快速服务器。 入门 这些说明将为您提供在本地计算机上运行并运行的项目的副本,以进行开发和测试。 先决条件 Node.js v8.xx或更高版本 重新思考数据库 正在安装 git clone https://github.com/DankMemer/webhook-server.git 创建config.json npm i 运行rethinkdb 使用node server.js运行服务器(可选使用pm2) 利润 建于 -JavaScript运行时 - 数据库 用于node.js的Web框架 作者 悖论-初始工作 另请参阅参与此项目的列表。 执照 此项目已获得MIT许可证的许可-有关详细信息,请参阅文件。 致谢 最终有东西会去这里吗?
推荐一个强大的Laravel Webhook管理工具:laravel-webhook-server
gitblog_00079的博客
05-17 414
推荐一个强大的Laravel Webhook管理工具:laravel-webhook-server Webhook是一种应用程序间通信的实用方式,通过HTTP请求传递信息以响应特定事件。对于开发人员来说,有效地管理和发送webhook至关重要。这就是为何我们想要向您介绍一个由Spatie制作的优秀开源项目——laravel-webhook-server。 1、项目介绍 laravel-webhoo...
webhook自定义服务器,webhook - 允许用户创建HTTP端点(钩)的工具来在服务器上执行命令...
weixin_30853033的博客
07-29 829
What is webhook? webhook is a lightweight configurable tool written in Go, that allows you to easily create HTTP endpoints (hooks) on your server, which you can use to execute configured commands. You...
[简单便捷]springboot整合企业微信webhook快速发送消息提醒
swalikh的博客
09-18 5884
企业微信webhook发送工具包(wework webhook robot) a java SDK for wework webhook robot github项目地址 介绍(introduction) 本人前端时间做后台提醒功能,需要用到企业微信webhook机器人发送各种消息。很多参数拼接搞得焦头烂额。干脆写了一个工具包。有需要就可以和spring快速集成。配置好webhook地址之后就可以快速方便发送消息,摒弃了各种参数的拼接。 现在已经支持: 文本消息 图片消息 文本卡片消息 图文消息(批量)
Kubernetes 风云录 】- MutatingWebhook 实现自动注入
ycloud
03-19 787
目的为了将链路上的所有服务在不调整控制器的前提下,为其运行的 Pod 自动添加特定的 label,目前考虑的方案是通过 MutatingAdmissionWebhook 实现,在 Pod 创建时动态注入指定的 label,从而实现统一标识和管理的目的。
Kubernetes动态准入控制:深入理解Admission Webhooks
gitblog_00289的博客
06-09 407
Kubernetes动态准入控制:深入理解Admission Webhooks 概述 在Kubernetes中,准入控制(Admission Control)是API请求处理流程中的关键环节,它负责在对象被持久化到etcd之前对请求进行验证和修改。除了内置的准入控制器外,Kubernetes还提供了动态准入控制机制——Admission Webhooks,允许开发者通过Webhook扩展准入控制逻...
webserverwebhook机制
09-05 393
什么是 webserver(像一个webapi接口,但又不仅仅是web接口) 1,你要从别的网站或服务器上获取资源或信息,别人肯定不会把数据库共享给你,只能给你提供一个他们写好的方法来获取数据,你引用他提供的接口就能使用他写好的方法,从而达到数据共享的目的。 2, python 开发一台软件,java开发另一台软件,如何让java获取python的信息呢? 我们可以让pyth...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值