【k8s】在ingress-controlller中Admission Webhook 的作用

   介绍1

     在 NGINX Ingress Controller 中,Admission Webhook 是一种用于增强 Kubernetes API 请求的机制,它允许你在资源(如 Ingress)被创建或更新之前对这些请求进行验证或修改。具体来说,Admission Webhook 在 NGINX Ingress Controller 中扮演了两个主要角色:

  1. Validating Admission Webhook

    • 作用:验证传入的 API 请求是否符合预定义的规则和条件。
    • 工作原理:当用户尝试创建或更新一个 Ingress 资源时,API Server 会将请求发送给 Validating Admission Webhook 进行验证。如果请求不符合预期(例如配置错误或违反了某些策略),Webhook 可以拒绝该请求并返回错误信息给用户。
    • 目的:确保只有正确配置且合法的 Ingress 资源才能被创建或更新,从而防止不正确的配置进入系统。
  2. Mutating Admission Webhook

    • 作用:在资源创建或更新前自动修改 API 请求的内容。
    • 工作原理:与 Validating Admission Webhook 类似,但在验证之后,Mutating Admission Webhook 可以修改传入的请求,添加默认值、修正配置项等,然后再将修改后的请求提交给 API Server。
    • 目的:简化用户的配置过程,自动应用最佳实践或集群特定的设置,确保所有资源都遵循一致的标准。

在 NGINX Ingress Controller 中的具体实现

对于 NGINX Ingress Controller 来说,Admission Webhook 主要用于以下场景:

  • Ingress 资源验证:确保所有的 Ingress 配置都是有效的,并且不会导致 NGINX 配置文件生成失败或其他问题。

  • 自动注入注解:为 Ingress 资源添加必要的注解或默认值,比如 SSL 证书管理、负载均衡策略等。

  • TLS 终止配置:处理 TLS 相关的配置,如自动生成和管理 SSL 证书,确保 HTTPS 流量能够正确终止于 Ingress Controller。

  • CRD 支持:一些高级功能可能依赖于自定义资源定义(Custom Resource Definitions, CRDs),此时 Mutating 和 Validating Admission Webhooks 可以帮助管理这些自定义资源。

Admission Webhook 的组成部分

  1. Webhook 服务:一个运行中的 Pod 或 Deployment,负责处理来自 API Server 的 HTTP(S) 请求。这个服务通常由 NGINX Ingress Controller 的控制器组件提供。

  2. Service 资源:为 Webhook 服务提供稳定的网络端点,API Server 使用此 Service 的 DNS 名称和端口来调用 Webhook。

  3. Webhook Configuration 资源ValidatingWebhookConfigurationMutatingWebhookConfiguration 定义了何时以及如何调用 Webhook。它们包含 Webhook 的 URL 或 Service 引用、规则、选择器以及其他配置信息。

  4. TLS 证书:用于加密 API Server 和 Webhook 服务之间的通信,确保数据传输的安全性和完整性。

总结

Admission Webhook 在 NGINX Ingress Controller 中是一个重要的特性,它通过在资源创建或更新前执行额外的验证和修改步骤,增强了系统的安全性和稳定性。这不仅有助于防止错误配置,还能自动化一些常见的配置任务,提高用户体验

介绍2

     在 NGINX Ingress Controller 中,Admission Webhook 是一种用于增强 Kubernetes API 请求处理的机制,它允许你在资源(如 Ingress)被创建或更新之前对这些请求进行验证或修改。具体来说,Admission Webhook 在 NGINX Ingress Controller 中主要指的是两个方面的工作:验证和变更请求。

Validating Admission Webhook

  • 作用:验证传入的 API 请求是否符合预定义的规则和条件。
  • 工作原理:当用户尝试创建或更新一个 Ingress 资源时,API Server 会将请求发送给 Validating Admission Webhook 进行验证。如果请求不符合预期(例如配置错误或违反了某些策略),Webhook 可以拒绝该请求并返回错误信息给用户。
  • 目的:确保只有正确配置且合法的 Ingress 资源才能被创建或更新,从而防止不正确的配置进入系统

Mutating Admission Webhook

  • 作用:在资源创建或更新前自动修改 API 请求的内容。
  • 工作原理:与 Validating Admission Webhook 类似,但在验证之后,Mutating Admission Webhook 可以修改传入的请求,添加默认值、修正配置项等,然后再将修改后的请求提交给 API Server。
  • 目的:简化用户的配置过程,自动应用最佳实践或集群特定的设置,确保所有资源都遵循一致的标准

在 NGINX Ingress Controller 中的具体实现

对于 NGINX Ingress Controller 来说,Admission Webhook 主要用于以下场景:

  • Ingress 资源验证:确保所有的 Ingress 配置都是有效的,并且不会导致 NGINX 配置文件生成失败或其他问题

  • 自动注入注解:为 Ingress 资源添加必要的注解或默认值,比如 SSL 证书管理、负载均衡策略等

  • TLS 终止配置:处理 TLS 相关的配置,如自动生成和管理 SSL 证书,确保 HTTPS 流量能够正确终止于 Ingress Controller

  • CRD 支持:一些高级功能可能依赖于自定义资源定义(Custom Resource Definitions, CRDs),此时 Mutating 和 Validating Admission Webhooks 可以帮助管理这些自定义资源

Admission Webhook 的组成部分

  1. Webhook 服务:一个运行中的 Pod 或 Deployment,负责处理来自 API Server 的 HTTP(S) 请求。这个服务通常由 NGINX Ingress Controller 的控制器组件提供。

  2. Service 资源:为 Webhook 服务提供稳定的网络端点,API Server 使用此 Service 的 DNS 名称和端口来调用 Webhook

  3. Webhook Configuration 资源ValidatingWebhookConfigurationMutatingWebhookConfiguration 定义了何时以及如何调用 Webhook。它们包含 Webhook 的 URL 或 Service 引用、规则、选择器以及其他配置信息

  4. TLS 证书:用于加密 API Server 和 Webhook 服务之间的通信,确保数据传输的安全性和完整性。这些证书通常是通过 Helm Chart 自动生成,或者手动创建并通过 Kubernetes Secret 管理

总结

       Admission Webhook 在 NGINX Ingress Controller 中是一个重要的特性,它通过在资源创建或更新前执行额外的验证和修改步骤,增强了系统的安全性和稳定性。这不仅有助于防止错误配置,还能自动化一些常见的配置任务。此外,Admission Webhook 的存在也意味着 NGINX Ingress Controller 不仅仅是简单的反向代理,而是具有更深层次集成能力的 Kubernetes 组件,它可以参与到 Kubernetes API 请求的生命周期中,确保集群内资源的一致性和安全性

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/64310.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据库管理-第271期 Oracle 23ai:用MongoDB的方式来操作JSON二元性(20241214)

数据库管理271期 2024-12-14 数据库管理-第271期 Oracle 23ai:用MongoDB的方式来操作JSON二元性(20241214)1 初始化数据1.1 创建用户1.2 导入数据1.3 创建JSON关系二元性视图 2 创建ORDS服务2.1 下载JDK172.2 安装ORDS2.3 启用MongoDB API2.4…

计网_虚拟局域网VLAN

2024.12.08:计算机网络虚拟局域网VLAN学习笔记 虚拟局域网VLAN VLAN背景(认真看)VLAN定义(最大的好处是隔离广播域)VLAN以太网帧格式的扩展划分虚拟局域网VLAN的方式虚拟局域网的优点 VLAN背景(认真看&…

深入探索JavaScript网络编程:AJAX与Axios库的完美结合

深入探索JavaScript网络编程:AJAX与Axios库的完美结合 在现代Web开发中,网络编程是不可或缺的一部分。AJAX(Asynchronous JavaScript and XML)技术使得网页能够在不重新加载整个页面的情况下与服务器进行数据交换,从而…

使用ENSP实现NAT(2)

一、NAT的类型 二、静态NAT 1.项目拓扑 2.项目实现 路由器AR1配置: 进入系统视图 sys将路由器命名为AR1 sysname AR1关闭信息中心 undo info-center enable 进入g0/0/0接口 int g0/0/0将g0/0/0接口IP地址配置为192.168.10.254/24 ip address 192.168.10.254 24进…

lombok常用注解的功能和效果

官网:https://www.projectlombok.org github源码地址:https://github.com/rzwitserloot/lombok Lombok是一个Java库,它能通过注解的方式自动生成一些Java代码,从而减少代码冗余。以下是一些Lombok常用的注解: Data 功…

Oracle PDB的开启和关闭

[生产环境关闭与开启Oracle PDB] 【运维场景】 在运维Oracle PDB的时候经常要开启和关闭PDB,对关闭和开启PDB的操作要非常熟悉。 【操作方法】 1. PDB的打开与关闭 关闭和开启DB的时候要看DB的警告日志,日志位置(在Oracle用户下查看&…

【树莓派4B】MindSpore lite 部署demo

一个demo,mindspore lite 部署在树莓派4B ubuntu22.04中,为后续操作开个门! 环境 开发环境:wsl-ubuntu22.04分发版部署环境:树莓派4B,操作系统为ubuntu22.04mindspore lite版本:mindspore-li…

LivePortrait 部署笔记

LivePortrait 开源地址: https://github.com/KwaiVGI/LivePortrait 模型下载: export HF_ENDPOINThttps://hf-mirror.com huggingface-cli download --resume-download KwaiVGI/LivePortrait --local-dir models--KwaiVGI--LivePortrait

yarn修改缓存位置

查看缓存位置 以下三个命令分别为:bin是yarn存储命令的二进制文件,global存储全局node_modules ,cache存储用下下载缓存,查看本机目前的目录: 查看bin目录命令:yarn global bin 查看global目录命令&…

安卓 流量相关功能实现记录

1. 静态声明权限&#xff0c;在AndroidManifest.xml中申明 <uses-permission xmlns:tools"http://schemas.android.com/tools"android:name"android.permission.PACKAGE_USAGE_STATS"tools:ignore"ProtectedPermissions" /> 2.判断并动态…

第17天:信息收集-Web应用备案产权Whois反查域名枚举DNS记录证书特征相似查询

#知识点 1、信息收集-Web应用-机构产权&域名相关性 2、信息收集-Web应用-DNS&证书&枚举子域名 标签 名称 地址 企业信息 天眼查 天眼查-商业查询平台_企业信息查询_公司查询_工商查询_企业信用信息系统 企业信息 小蓝本 获客营销系统_ai智能拓客系统_企业获…

在循环群模运算中计算逆元

文章目录 一、算数模复合二、群 循环群1. 群 (Group)2. 环 (Ring)3. 循环群 (Cyclic Group)4. 多项式环 (Polynomial Ring)5. 有限域 (Finite Field)6. 椭圆曲线 (Elliptic Curve) 三、求逆元1. 扩展欧几里得算法1.1 算法概述1.2 步骤1.3 示例 2. 费马小定理 一、算数模复合 假…

Python使用Selenium库获取 网页节点元素、名称、内容的方法

我们要用到一些网页源码信息&#xff0c;例如获取一些节点的class内容&#xff0c; 除了使用Beautifulsoup来解析&#xff0c;还可以直接用Selenium库打印节点&#xff08;元素&#xff09;名称&#xff0c;用来获取元素的文本内容或者标签名。 例如获取下面的class的内容&am…

M3DM的autodl环境构建过程笔记

文章目录 在3D-ADS环境https://blog.csdn.net/tfxzgp/article/details/144259472基础上构建M3DM(失败的记录&#xff0c;不用看)更换镜像重来&#xff08;成功&#xff09;安装缺少的包修改models.py中的RGB和点云backbone的路径修改main.py路径参数运行 在3D-ADS环境https://b…

Android 使用Overlay现实主题切换

最近项目上&#xff0c;想做一个主题切换的功能&#xff0c;整理了一下发布出来&#xff0c;主要使用的是IOverlayManager&#xff0c;大体思路如下&#xff1a; 1、想切换的应用&#xff0c;各自做overlay apk&#xff08;简称皮肤包&#xff09; 2、将overlay apk push 到v…

【原生js案例】如何实现一个穿透字体颜色的导航

普通的导航大家都会做&#xff0c;像这种穿透字体的导航应该很少见吧。高亮不是通过单独设置一个active类来设置字体高亮颜色&#xff0c;鼠标滑过导航项&#xff0c;字体可以部分是黑色&#xff0c;不分是白色&#xff0c;这种效果的实现 感兴趣的可以关注下我的系列课程【we…

IDEA 2023.3.6 下载、安装、激活与使用

一、IDEA2023.3.6下载 国际官网&#xff1a;https://www.jetbrains.com/ 国内官网&#xff1a;https://www.jetbrains.com.cn/ 如果国际官网无法访问&#xff0c;就使用国内官网&#xff0c;我们以国内官网为例下载IDEA2023.3.6 首先进入首页如下图&#xf…

ip_done

文章目录 路由结论 IP分片 数据链路层重谈Mac地址MAC帧报头局域网的通信原理MSS&#xff0c;以及MAC帧对上层的影响ARP协议 1.公司是不是这样呢? 类似的要给运营商交钱&#xff0c;构建公司的子网&#xff0c;具有公司级别的入口路由器 2&#xff0e;为什么要这样呢?? IP地…

Unity 将数字1234转换为字母ABCD

需求如下&#xff1a; 数字1&#xff0c;转换后为&#xff1a;A 数字2&#xff0c;转换后为&#xff1a;B 数字3&#xff0c;转换后为&#xff1a;C 数字4&#xff0c;转换后为&#xff1a;D 数字123&#xff0c;转换后为&#xff1a;ABC C#实现代码如下&#xff1a; pri…

深度学习作业 - 作业十一 - LSTM

问题一 推导LSTM网络中参数的梯度&#xff0c;并的分析其避免梯度消失的效果 LSTM网络是为了解简单RNN中存在的长程依赖问题而提出的一种新型网络结构&#xff0c;其主要思想是通过引入门控机制来控制数据的流通&#xff0c;门控机制包括输入门、遗忘门与输出门&#xff0c;同…