kubebuilder(6)webhook

2024-05-05 04:28
文章标签 webhook kubebuilder

本文主要是介绍kubebuilder(6)webhook,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

operator中的webhook也是很重要的一块功能。也是相对比较独立的模块,所以放在后面讲。

webhook是一个callback,注册到k8s的api-server上。当某个特定的时间发生时,api server就会查询注册的webhook,并根据一些逻辑确认转发消息给某个webhook

在k8s中,有3类webhook,admission webhook, authorization webhook 和 CRD conversion webhook.

在kubebuilder的底层controller-runtime框架里,支持admission webhooks and CRD conversion webhooks。

这篇笔记讲的是admission webhook。(以下的webhook就是指admission webhook)。CRD conversion webhooks用于多版本api转换时,目前入门阶段先不讨论这个话题。

admission  webhook又可以分成2类。

一种是校验类的webhook,只读取信息,做校验判断,不会改变消息,称为validating类型。这里的校验就可以写复杂的业务了,前面的代码里我们也配置过简单的validation校验。

// +kubebuilder:validation:Required
Image string `json:"image,omitempty"`

另一种就是可修改对象的webhook,比如设置默认值功能,称为mutating类型。

执行顺序

先执行mutating webhook,后执行validating webhook

就是说先设置,后校验。不需要担心,校验完了之后,另一个webhook又修改了值。

工作流

fdf6dddb37185f648d8e470ab47ed173.jpeg


  1. 用户创建一个CRD的实例
  2. k8s api-server将这个请求转发给对应的webhook
  3. webhook完成默认的参数配置操作,并进行一些参数校验操作。成功之后将cr返回给api-server。api-server进行落库
  4. 我们编写的controller的在后台监控cr,拉取cr内容,并执行我们编写的逻辑
  5. cr的执行结果同步回api-server

创建webhook

和创建api一样,webhook也由kubebuilder创建脚手架代码。

我们在之前的代码框架上继续操作。

kubebuilder create webhook --group tutorial --version v1 --kind Demo --defaulting --programmatic-validation

--defaulting 是会创建配置默认值的webhook

--programmatic-validation 创建有校验功能的webhook

kubebuilder的参数

Flags:
--conversion if set, scaffold the conversion webhook
--defaulting if set, scaffold the defaulting webhook
--force attempt to create resource even if it already exists
--group string resource Group
-h, --help help for webhook
--kind string resource Kind
--plural string resource irregular plural form
--programmatic-validation if set, scaffold the validating webhook
--version string resource Version

--conversion 就是创建CRD conversion webhooks。用于多版本api转换时,现在先不用管。

执行完之后,看看生成的代码

80f35abda06a0dc11392ad7dea008016.jpeg

image-20240318145925949

查看main.go

dc4f9d843d7132bcf78776cc6694b725.jpeg

image-20240318151327123

作用就是在manager中注册了我们的webhook

业务代码

更重要的文件是生成的这个webhook文件,我们的业务代码是写在这里的

b2d6648040cec92d00fcbd3d17cc4fa3.jpeg

image-20240318152519441

a1b3f2bdabd9b416756f7ca6d0d30bcc.jpeg

image-20240318154234686

我们的Demo实现了webhook.Defaulter接口。即拥有了配置crd的默认值的能力。

稍后我们在这个Default()方法里编写配置默认值的操作。

f7d17305555e308bdcf35360d88a18c2.jpeg

image-20240318154438377

我们的Demo实现了webhook.Validator接口,在crd进行增删改时可以进行验证操作

简单实现几个方法

func (r *Demo) Default() {
demolog.Info("default", "name", r.Name)

// TODO(user): fill in your defaulting logic.
if r.Spec.Replicas == nil {
r.Spec.Replicas = new(int32)
*r.Spec.Replicas = 1
demolog.Info("配置默认值", "replicas", *r.Spec.Replicas)
}
}
// 创建和更新调一下validate方法
func (r *Demo) ValidateCreate() error {
demolog.Info("validate create", "name", r.Name)

// TODO(user): fill in your validation logic upon object creation.
// 调用 r.validate() 方法,来验证对象的合法性。
return r.validate()
}

func (r *Demo) validate() error {
var allErrs field.ErrorList
if *r.Spec.Replicas > 10 {
err := field.Invalid(field.NewPath("spec").Child("replicas"),
*r.Spec.Replicas,
"副本数不能大于10")

allErrs = append(allErrs, err)
}

if len(allErrs) == 0 {
demolog.Info("参数合法")
return nil
}

return apierrors.NewInvalid(schema.GroupKind{
Group: "tutorial",
Kind: "Demo"},
r.Name, allErrs)
}

在部署webhook前,还需要修改下配置

在config/default/kustomization.yaml中

144d794deb38348edb2045b00332515c.jpeg

image-20240318173558821

注释全都放开

在config/crd/kustomization.yaml中

f09ada5ef30ecfdb65fee2872ea1e873.jpeg

image-20240318173642764

注释放开

部署前准备

安装cert-manager

因为api-server是通过https调用webhook,所以需要部署cert-manager来自动管理证书。

这也是kubebuilder官方建议的方案

kubectl apply -f https://github.com/cert-manager/cert-manager/releases/download/v1.7.3/cert-manager.yaml

918e27e391e8bddd91b240d899ee2bbd.jpeg

image-20240320171742770

因为我的测试环境是1.18的k8s,所以选择1.7版本的cert manager。

232a3f2d167dbdff187f17821a43b596.jpeg

image-20240320171848151

清理环境

先把之前测试的资源全部删除

删除测试demo

kubectl delete -f config/samples/tutorial_v1_demo.yaml

删除operator

kubectl delete -f demo-operator.yaml

删除crd

make uninstall

部署

make install
make docker-build docker-push IMG=harbor-test.xxx.net/paas/demo-operator:2.0
make deploy IMG=harbor-test.xxx.net/paas/demo-operator:2.0

15cb38c8ee2a9c078c0f903f5cec7951.jpeg

image-20240320173017108

测试

测试默认值功能

修改一下之前的yaml,去掉replicas字段

apiVersion: tutorial.demo.com/v1
kind: Demo
metadata:
namespace: demo
name: demo-sample
spec:
image: nginx:1.22
svcName: demo-ng

查看manager的日志

a376abaa274fd298f8ed06ea43046b39.jpeg

image-20240320173733830

调用了配置默认值的代码

测试参数校验功能

将yaml中的replicas字段设置为15,超过我们的最大值

[root@paas-m-k8s-master-1 demo-operator]# kubectl apply -f config/samples/tutorial_v1_demo.yaml
The Demo "demo-sample" is invalid: spec.replicas: Invalid value: 15: 副本数不能大于10

直接报错

查看日志

16dedf6e0c89ce767e8eee80cf68af62.jpeg

image-20240320174235546

进行了校验


这篇关于kubebuilder(6)webhook的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/960801

相关文章

深入了解kubebuilder

深入了解kubebuilder

前文快速实现一个Kubernetes Operator介绍了kubebuilder工具,快速实现了一个Operator。今天我们深入水下,探寻kubebuilder究竟是如何工作的。 普通开发流程 如果不借助任何Operator脚手架,我们是如何实现Operator的?大体分为一下几步: CRD定义Controller开发,编写逻辑测试部署 API定义 首先通过k8s.io/code-g
阅读更多...
exec /kube-webhook-certgen: exec format error

exec /kube-webhook-certgen: exec format error

kubectl logs -n ingress-nginx ingress-nginx-admission-patch-ww2k4exec /kube-webhook-certgen: exec format error 原因:服务器是x86架构,我本地虚拟机是arm架构。运行 Docker 时,默认情况下会尝试拉取并运行与系统架构匹配的镜像(即 ARM64 架构的镜像)。然而,如果镜像仓
阅读更多...
webhook-k8s API和apimachinery版本高于Client-go

webhook-k8s API和apimachinery版本高于Client-go

1. 问题 使用go mod tidy 存在丢弃的版本 go: downloading github.com/josharian/intern v1.0.0go: finding module for package k8s.io/api/flowcontrol/v1alpha1go: simple-webhook/types importsk8s.io/client-go/rest te
阅读更多...
使用码云 webhook 实现自动部署

使用码云 webhook 实现自动部署

文章目录 配置公钥配置 WebHook可能遇到的问题 配置公钥 为 Web 服务器所属的 www 用户生成密钥 sudo -Hu www ssh-keygen -t rsa -C 'your email' -f /home/www/.ssh/gitee_id_rsa 在 /home/www/.ssh 目录下新建 cofnig 文件并写入配置 vi /home/www/.s
阅读更多...
《Linux运维总结:prometheus+altermanager+webhook-dingtalk配置文件详解》

《Linux运维总结:prometheus+altermanager+webhook-dingtalk配置文件详解》

总结:整理不易,如果对你有帮助,可否点赞关注一下? 更多详细内容请参考:《Linux运维篇:Linux系统运维指南》 一、prometheus配置文件 Prometheus的配置文件是prometheus.yml,在启动时指定相关的文件,可对配置内容进行加载。 global:全局配置alerting:告警配置rule_files:规则配置scrape_configs:目标拉取配
阅读更多...
码云webhook自动部署

码云webhook自动部署

配置php的www可执行Linux shell 脚本; 参考:php执行Linux shell 脚本配置码云的webhook 码云以post方式,通知web服务器 代码参考: <?php//file_put_contents("git-webhook_log.txt", 'test-webhooks', FILE_APPEND);//写入日志到log文件中//exit('webhook'
阅读更多...
通过 Webhook 将消息推送至钉钉、飞书、企业微信

通过 Webhook 将消息推送至钉钉、飞书、企业微信

本文首发于只抄博客,欢迎点击原文链接了解更多内容。 前言 当我们在 VPS 与 NAS 上部署了大量的应用,如何优雅的接收推送消息就成了一个大问题,在“上古时代”最常用的莫过于 SMTP 直接发送邮件进行通知,但当推送的消息过多且频繁时,邮件显得有些杂乱,查看起来并不是那么的方便。 而现在大家常见的 IM 软件都已经支持 Webhook 接收消息,将通知发送给 IM 软件的机器人,然后
阅读更多...
istio 之 sidecar 注入 Webhook

istio 之 sidecar 注入 Webhook

Istio通过对serviceMesh中的每个pod注入sidecar,来实现无侵入式的服务治理能力。 sidecar的注入是其能力实现的重要一环(在kubernetes集群中的注入方式)。sidecar注入有两种方式, 一是通过创建webhook资源,利用k8s的webhook能力实现pod的自动注入, 二是通过istioctl工具,对yaml文件进行手动注入。 https://istio.i
阅读更多...
istio 配置验证 Webhook

istio 配置验证 Webhook

配置验证 Webhook Istio 使用 ValidatingAdmissionWebhooks 验证 Istio 配置, 使用 MutatingAdmissionWebhooks 自动将 Sidecar 代理注入至用户 Pod ### 验证 kubectl 是否是最新版本(>= 1.10),并且 Kubernetes 服务器版本 >= 1.9。kubectl version --short
阅读更多...
gitlib与jenkins集成支持不同分支提交触发不同webhook编译流程

gitlib与jenkins集成支持不同分支提交触发不同webhook编译流程

经过多次失败找到此方案与大家共享 先说一下背景      gitlib提交代码时不管是分支提交还是master提交都会触发流水线编写,这不是我们想要的,浪费时间和资源,我们只想要当dev被push时,dev的编译流程进行触发,master不会触发,master被push时相对应一样。 接下来看看具体实现 首先gitlib和jenkins没什么好说的了 gitlib我创建了dev和mast
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2