k8s webhook实例,java springboot程序实现 对Pod创建请求添加边车容器 ,模拟istio实现日志文件清理
大纲
- 背景与原理
- 实现流程
- 开发部署my-docker-demo-sp-user服务模拟业务项目
- 开发部署my-sidecar服务模拟边车程序
- 开发部署服务my-docker-demo-k8s-operator 提供webhook功能
- 创建MutatingWebhookConfiguration 动态准入配置
- 测试边车注入效果
背景与原理
背景:
程序容器运行期间会大量产生日志文件,久而久之会消耗大量的硬盘空间(除非程序重新部署)
如果手动的去删除比较麻烦,如果把程序文件夹挂载到主机需要手动去配置磁盘卷挂载比较麻烦
原理:
由于业务程序镜像统一把日志写入到/data/service/logs, 所以在开发一个程序专门定时清理/data/service/logs文件夹下的文件,利用k8s webhook 把这个定时程序作为边车挂载到业务程序中
利用边车的方式还可以实现很多对业务增强的功能
涉及项目
- my-docker-demo-sp-user 模拟业务项目
- my-sidecar 模拟边车程序
- my-docker-demo-k8s-operator 模拟webhook
实现流程
step1 开发部署my-docker-demo-sp-user服务模拟业务项目
my-docker-demo-sp-user是一个springboot项目主要代码如下
调用一个接口可以创建随机文件,模拟生成大量日志文件
my-docker-demo-sp-user 部署文件 deploy.yaml 如下
apiVersion: v1
kind: Namespace #类型 指定为Namespace
metadata:name: my-sidecar-webhook #namespace的名称 注意只能是英文小写和数字 labels: my-sidecar-inject: enabled #注意: 命名空间需要带有namespaceSelector中匹配的标签
---apiVersion: v1
kind: Pod
metadata: name: user-service-podnamespace: my-sidecar-webhook
spec: # 容器配置 containers: - image: registry.cn-hangzhou.aliyuncs.com/jimliu/user-service:v5imagePullPolicy: IfNotPresent #Alwaysname: user-serviceports: - containerPort: 5588name: httpprotocol: TCP
可以看到这是一个极简的部署文件,创建一个命名空间和一个Pod, Pod只有一个容器user-service,执行部署文件deploy.yaml 可以看到只有一个容器在运行
测试发现功能正常并且Pod中只有一个容器
step2 开发部署my-sidecar服务模拟边车程序
my-sidecar (代码写在my-docker-demo-k8s-operator中打包的时候改了下jar包的名字)是一个springboot项目主要代码如下
有一个接口可以查看/data/service/logs文件夹下所有文件和一个接口和删除文件的接口
后续改造可以将删除功能做成定时任务执行
将my-sidecar服务打包制作成镜像推送到私库待用
step3 开发部署服务my-docker-demo-k8s-operator 提供webhook功能
本次实验webhook使用部署在k8s集群外部的方式 webhook可以参考(k8s Webhook 使用java springboot实现webhook 学习总结)
@RequestMapping("/mutate/v3")public String mutateV2(HttpServletRequest req ,HttpServletResponse rep) throws Exception {System.out.println("use mutate java k8s client lib [io.fabric8] @@@");InputStream in = req.getInputStream();/*** io.fabric8库 内置AdmissionReview对象* 使用 Serialization.unmarshal把输入流直接转化为对象*/AdmissionReview admissionReview = Serialization.unmarshal(in, AdmissionReview.class);System.out.println(Serialization.asJson(admissionReview));/*** 需要给原始的Pod 添加一个边车容器用于管理原始容器中生成的文件* Pod配置文件修改* 1 添加一个空临时存储卷* 2 添加一个边车容器并挂载存储卷* 3 修改原始容器添加挂载存储卷* *///1 准备一个空临时存储卷对象//Volume与EmptyDirVolumeSource对象是 io.fabric8库 内置对象Volume v = new Volume();v.setName("data");EmptyDirVolumeSource emptyDir = new EmptyDirVolumeSource();v.setEmptyDir(emptyDir);//2 准备一个边车容器并挂载存储卷对象//Container对象是 io.fabric8库 内置对象Container sidecar = new Container();sidecar.setImage("registry.cn-hangzhou.aliyuncs.com/jimliu/sidecar:v1"); //边车程序镜像sidecar.setImagePullPolicy("IfNotPresent");sidecar.setName("sidecar");ContainerPort cp = new ContainerPort();cp.setContainerPort(5533);cp.setName("http");cp.setProtocol("TCP");sidecar.setPorts(Arrays.asList(cp));//VolumeMount对象是 io.fabric8库 内置对象VolumeMount vm = new VolumeMount();vm.setMountPath("/data/service/logs"); //将容器内部的/data/service/logs 与 data 卷挂载vm.setName("data");sidecar.setVolumeMounts(Arrays.asList(vm));//3 修改原始容器添加挂载存储卷//Pod对象是 io.fabric8库 内置对象Pod pod = (Pod) admissionReview.getRequest().getObject();List<Container> containers = pod.getSpec().getContainers();for(Container container : containers) {VolumeMount vmt = new VolumeMount();vmt.setMountPath("/data/service/logs");vmt.setName("data");container.getVolumeMounts().add(vmt);}//将边车容器加入containers.add(sidecar);/*** 开始制作jsonpatch* 对Pod的修改需要利用jsonpatch 提供的add 和 replace* JsonPatchBean为自定义的一个对象*/List<JsonPatchBean> patchs = new ArrayList<>();//添加卷patchs.add(new JsonPatchBean("add","/spec/volumes",Arrays.asList(v)));//替换容器加入边车容器patchs.add(new JsonPatchBean("replace","/spec/containers",containers));/*** patchs转换为字符串* 需要把字符串转换为base64编码*/String patchStr = JSON.toJSONString(patchs);System.out.println(patchStr);Base64 base64= new Base64(); String patch = new String(base64.encode(patchStr.getBytes()));/*** uid,从发送到 Webhook 的 request.uid 中复制而来*/String uid = admissionReview.getRequest().getUid();/*** io.fabric8库 内置AdmissionResponse对象*/AdmissionResponse response = new AdmissionResponse();response.setAllowed(true);response.setUid(uid);response.setPatch(patch);response.setPatchType("JSONPatch");/*** 填充Response*/admissionReview.setResponse(response);return Serialization.asJson(admissionReview);}/*** 封装一个JsonPatch 操作对象* @author liuyijiang*/public static class JsonPatchBean {private String op;private String path;private Object value;public JsonPatchBean(String op,String path,Object value) {this.op = op;this.path = path;this.value = value;}... get set 省略}
这里 my-docker-demo-k8s-operator 项目需要使用https方式访问
如何配置证书与域名可参考 k8s Webhook 使用java springboot实现webhook 学习总结
这里默认相关的证书配置,k8s master节点的域名映射都完成,本地eclipse启动my-docker-demo-k8s-operator 成功
step4 创建MutatingWebhookConfiguration 动态准入配置
MutatingWebhookConfiguration 内容如下
apiVersion: admissionregistration.k8s.io/v1
kind: MutatingWebhookConfiguration
metadata: name: my-test-webhook1 #创建MutatingWebhookConfiguration 的名称
webhooks:
- admissionReviewVersions: #指定可接受的 AdmissionReview 对象版本 这里支持v1beta1 v1- v1beta1- v1clientConfig:# CA根证书内容caBundle: LS0tLS1CRUdJTiBDR...略# 只支持https请求url: "https://webhooktest.liuyijiang.com/mutate/v3" #webhook web服务访问的地址failurePolicy: FailmatchPolicy: Exact #精确匹配name: webhooktest.liuyijiang.com #名称随意但是必须是域名格式namespaceSelector:matchLabels:my-sidecar-inject: enabled #必须匹配标签为my-sidecar-inject=enabled的命名空间内的资源才会被拦截rules:- apiGroups:- ""apiVersions: #匹配的版本- v1operations: #拦截CREATE操作- CREATEresources: #拦截执行类型是pod- podsscope: '*' #所有命名空间sideEffects: None #配置是否有副作用,None表示调用 Webhook 没有副作用timeoutSeconds: 30 #请求超时时间
caBundle根证书内容生成 可参考 k8s Webhook 使用java springboot实现webhook 学习总结
部署MutatingWebhookConfiguration
step5 测试边车注入效果
再次部署my-docker-demo-sp-user项目 此时 我本机上已接收到k8s webhook请求
查看部署后的Pod 发现出现两个容器,边车容器与业务容器实现了共享存储空间,并可以清除日志文件,后续只需改造为定时任务即可
kubectl -n my-sidecar-webhook get pods -o json
