準(zhǔn)入控制是k8s中用來(lái)提供安全控制的一個(gè)控制器，而動(dòng)態(tài)控制則是用戶定制的安全策略

種類

動(dòng)態(tài)準(zhǔn)入控制分為兩種，分別為Mutating，Validating

Mutating

Mutating主要為修改性質(zhì)的，在api調(diào)用完成之后k8s會(huì)根據(jù)ValidatingWebhookConfiguration中的條件發(fā)送給配置的webhook服務(wù)，webhook服務(wù)根據(jù)業(yè)務(wù)邏輯進(jìn)行修改，比如說(shuō)大名鼎鼎的istio的Sidecar注入就是于此

Validating

Validating主要為驗(yàn)證性質(zhì)的，主要看是不是符合條件集群要求，比方說(shuō)為了高可用不允許設(shè)置副本數(shù)為1的類型為deployment的請(qǐng)求

架構(gòu)

下圖所顯的是api請(qǐng)求的流程

編寫(xiě)webhook

創(chuàng)建證書(shū)

創(chuàng)建證書(shū)的的程序很多比較出名的是openssl，這里我們使用rancher提供的一個(gè)自動(dòng)生成證書(shū)的腳本

1. 將下面的腳本保存為create_self-signed-cert.sh

#!/bin/bash -ehelp (){
    echo  ' ================================================================ '
    echo  ' --ssl-domain: 生成ssl證書(shū)需要的主域名，如不指定則默認(rèn)為www.rancher.local，如果是ip訪問(wèn)服務(wù)，則可忽略；'
    echo  ' --ssl-trusted-ip: 一般ssl證書(shū)只信任域名的訪問(wèn)請(qǐng)求，有時(shí)候需要使用ip去訪問(wèn)server，那么需要給ssl證書(shū)添加擴(kuò)展IP，多個(gè)IP用逗號(hào)隔開(kāi)；'
    echo  ' --ssl-trusted-domain: 如果想多個(gè)域名訪問(wèn)，則添加擴(kuò)展域名（SSL_TRUSTED_DOMAIN）,多個(gè)擴(kuò)展域名用逗號(hào)隔開(kāi)；'
    echo  ' --ssl-size: ssl加密位數(shù)，默認(rèn)2048；'
    echo  ' --ssl-cn: 國(guó)家代碼(2個(gè)字母的代號(hào)),默認(rèn)CN;'
    echo  ' 使用示例:'
    echo  ' ./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
    echo  ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650'
    echo  ' ================================================================'}case "$1" in
    -h|--help) help; exit;;esacif [[ $1 == '' ]];then
    help;
    exit;fiCMDOPTS="$*"for OPTS in $CMDOPTS;do
    key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
    value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
    case "$key" in
        --ssl-domain) SSL_DOMAIN=$value ;;
        --ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
        --ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
        --ssl-size) SSL_SIZE=$value ;;
        --ssl-date) SSL_DATE=$value ;;
        --ca-date) CA_DATE=$value ;;
        --ssl-cn) CN=$value ;;
    esacdone# CA相關(guān)配置CA_DATE=${CA_DATE:-3650}CA_KEY=${CA_KEY:-cakey.pem}CA_CERT=${CA_CERT:-cacerts.pem}CA_DOMAIN=cattle-ca# ssl相關(guān)配置SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}SSL_DATE=${SSL_DATE:-3650}SSL_SIZE=${SSL_SIZE:-2048}## 國(guó)家代碼(2個(gè)字母的代號(hào)),默認(rèn)CN;CN=${CN:-CN}SSL_KEY=$SSL_DOMAIN.keySSL_CSR=$SSL_DOMAIN.csrSSL_CERT=$SSL_DOMAIN.crtecho -e "\033[32m ---------------------------- \033[0m"echo -e "\033[32m       | 生成 SSL Cert |       \033[0m"echo -e "\033[32m ---------------------------- \033[0m"if [[ -e ./${CA_KEY} ]]; then
    echo -e "\033[32m ====> 1. 發(fā)現(xiàn)已存在CA私鑰，備份"${CA_KEY}"為"${CA_KEY}"-bak，然后重新創(chuàng)建 \033[0m"
    mv ${CA_KEY} "${CA_KEY}"-bak
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}else
    echo -e "\033[32m ====> 1. 生成新的CA私鑰 ${CA_KEY} \033[0m"
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}fiif [[ -e ./${CA_CERT} ]]; then
    echo -e "\033[32m ====> 2. 發(fā)現(xiàn)已存在CA證書(shū)，先備份"${CA_CERT}"為"${CA_CERT}"-bak，然后重新創(chuàng)建 \033[0m"
    mv ${CA_CERT} "${CA_CERT}"-bak
    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"else
    echo -e "\033[32m ====> 2. 生成新的CA證書(shū) ${CA_CERT} \033[0m"
    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"fiecho -e "\033[32m ====> 3. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"cat > ${SSL_CONFIG} <<EOM
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOMif [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then
    cat >> ${SSL_CONFIG} <<EOM
subjectAltName = @alt_names
[alt_names]
EOM
    IFS=","
    dns=(${SSL_TRUSTED_DOMAIN})
    dns+=(${SSL_DOMAIN})
    for i in "${!dns[@]}"; do
      echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
    done

    if [[ -n ${SSL_TRUSTED_IP} ]]; then
        ip=(${SSL_TRUSTED_IP})
        for i in "${!ip[@]}"; do
          echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
        done
    fifiecho -e "\033[32m ====> 4. 生成服務(wù)SSL KEY ${SSL_KEY} \033[0m"openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}echo -e "\033[32m ====> 5. 生成服務(wù)SSL CSR ${SSL_CSR} \033[0m"openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}echo -e "\033[32m ====> 6. 生成服務(wù)SSL CERT ${SSL_CERT} \033[0m"openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \
    -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \
    -days ${SSL_DATE} -extensions v3_req \
    -extfile ${SSL_CONFIG}echo -e "\033[32m ====> 7. 證書(shū)制作完成 \033[0m"echoecho -e "\033[32m ====> 8. 以YAML格式輸出結(jié)果 \033[0m"echo "----------------------------------------------------------"echo "ca_key: |"cat $CA_KEY | sed 's/^/  /'echoecho "ca_cert: |"cat $CA_CERT | sed 's/^/  /'echoecho "ssl_key: |"cat $SSL_KEY | sed 's/^/  /'echoecho "ssl_csr: |"cat $SSL_CSR | sed 's/^/  /'echoecho "ssl_cert: |"cat $SSL_CERT | sed 's/^/  /'echoecho -e "\033[32m ====> 9. 附加CA證書(shū)到Cert文件 \033[0m"cat ${CA_CERT} >> ${SSL_CERT}echo "ssl_cert: |"cat $SSL_CERT | sed 's/^/  /'echoecho -e "\033[32m ====> 10. 重命名服務(wù)證書(shū) \033[0m"echo "cp ${SSL_DOMAIN}.key tls.key"cp ${SSL_DOMAIN}.key tls.keyecho "cp ${SSL_DOMAIN}.crt tls.crt"cp ${SSL_DOMAIN}.crt tls.crt

2. 然后執(zhí)行下面的命令

./create_self-signed-cert.sh --ssl-domain=admission-example.admission-example.svc.cluster.local  --ssl-trusted-domain=admission-example,admission-example.admission-example.svc -ssl-trusted-ip=127.0.0.1

3. 會(huì)在目錄里生成一套證書(shū)和秘鑰

• .key的為秘鑰

• .crt為域名的證書(shū)

• csr文件為證書(shū)申請(qǐng)文件

• ca開(kāi)頭的為根證書(shū)和秘鑰

編寫(xiě)yaml文件

編寫(xiě)MutatingWebhookConfiguration和ValidatingWebhookConfiguration

apiVersion: admissionregistration.k8s.io/v1kind: MutatingWebhookConfigurationmetadata:
  name: mutating-example  labels:
    app: admission-examplewebhooks:
  - name: admission-example.naturelr.cc    clientConfig:
      service:
        name: admission-example        namespace: admission-example        path: "/mutate"
        port: 8080
      # 證書(shū)進(jìn)行base64編碼
      caBundle: {{CA}}
    rules:
      - operations: [ "CREATE" ]
        apiGroups: ["apps", ""]
        apiVersions: ["v1"]
        resources: ["deployments","services"]
    admissionReviewVersions: ["v1", "v1beta1"]
    sideEffects: None    # 只有ns上擁有admission-webhook-example: enabled才生效
    namespaceSelector:
      matchLabels:
        admission-webhook-example: enabled---apiVersion: admissionregistration.k8s.io/v1kind: ValidatingWebhookConfigurationmetadata:
  name: validation-example  labels:
    app: admission-examplewebhooks:
  - name: admission-example.naturelr.cc    clientConfig:
      service:
        name: admission-example        namespace: admission-example        path: "/validate"
        port: 8080
      caBundle: {{CA}}
    rules:
      - operations: [ "CREATE" ]
        apiGroups: ["apps", ""]
        apiVersions: ["v1"]
        resources: ["deployments","services"]
    admissionReviewVersions: ["v1", "v1beta1"]
    sideEffects: None    namespaceSelector:
      matchLabels:
        admission-webhook-example: enabled

開(kāi)發(fā)webhook

開(kāi)發(fā)上面定義的兩個(gè)接口validate，mutate

監(jiān)聽(tīng)的端口和上面配置的端口一直，且使用創(chuàng)建的證書(shū)

...
  http.HandleFunc("/validate", validate)
  http.HandleFunc("/mutate", mutate)
  http.HandleFunc("/ping", func(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintln(w, "pong")
  })

  svr := http.Server{
    Addr:         ":8080",
    ReadTimeout:  time.Minute,
    WriteTimeout: time.Minute,
  }
  go func() {
    if *key == "" || *cert == "" {
      fmt.Println("http服務(wù)啟動(dòng)成功")
      if err := svr.ListenAndServe(); err != nil {
        log.Fatalln(err)
      }
    }
    fmt.Println("https服務(wù)啟動(dòng)成功")
    if err := svr.ListenAndServeTLS(*cert, *key); err != nil {
      log.Fatalln(err)
  }()  
    }

實(shí)現(xiàn)mutate的部分，我們需要給滿足條件的deployment和service添加一個(gè)名為admission-example.naturelr.cc/status": "test"的注解
這里和使用kubectl操作上很像只不過(guò)由代碼返回給k8s

func mutate(w http.ResponseWriter, r *http.Request) {
  // 請(qǐng)求結(jié)構(gòu)體
  qar := admissionv1.AdmissionReview{}
  _, _, err := serializer.NewCodecFactory(runtime.NewScheme()).UniversalDeserializer().Decode(body, nil, &qar)
  checkErr(err)  
  type patchOperation struct {
    Op    string      `json:"op"`
    Path  string      `json:"path"`
    Value interface{} `json:"value,omitempty"`
  }  
  p := patchOperation{
    Op:    "add",
    Path:  "/metadata/annotations",
    Value: map[string]string{"admission-example.naturelr.cc/status": "test"},
  }
  patch, err := json.Marshal([]patchOperation{p})
  checkErr(err)

  // 返回給k8s的消息
  are := &admissionv1.AdmissionReview{
    TypeMeta: apimetav1.TypeMeta{
      APIVersion: qar.APIVersion,
      Kind:       qar.Kind,
    },
    Response: &admissionv1.AdmissionResponse{
      Allowed: true,
      Patch:   patch,
      PatchType: func() *admissionv1.PatchType {
        pt := admissionv1.PatchTypeJSONPatch        return &pt      }(),
      UID: qar.Request.UID,
    },
  }

  resp, err := json.Marshal(are)
  checkErr(err)
  fmt.Println("響應(yīng):", string(resp))
  w.WriteHeader(200)
  w.Write(resp)}

validate中主要驗(yàn)證service和deployment中標(biāo)簽是否有admission字段如果就沒(méi)有則拒絕訪問(wèn)

func validate(w http.ResponseWriter, r *http.Request) {
    // 請(qǐng)求結(jié)構(gòu)體
  qar := admissionv1.AdmissionReview{}
  _, _, err := serializer.NewCodecFactory(runtime.NewScheme()).UniversalDeserializer().Decode(body, nil, &qar)
  checkErr(err  // 處理邏輯 從請(qǐng)求的結(jié)構(gòu)體判斷是是否滿足條件
  var  availableLabels map[string]string
  
  requiredLabels := "admission"
  var errMsg error
  switch qar.Request.Kind.Kind {
  case "Deployment":
    var deploy appsv1.Deployment    if err := json.Unmarshal(qar.Request.Object.Raw, &deploy); err != nil {
      log.Println("無(wú)法解析格式:", err)
      errMsg = err    }
    availableLabels = deploy.Labels  case "Service":
    var service corev1.Service    if err := json.Unmarshal(qar.Request.Object.Raw, &service); err != nil {
      log.Println("無(wú)法解析格式:", err)
      errMsg = err    }
    availableLabels = service.Labels  default:
    msg := fmt.Sprintln("不能處理的類型：", qar.Request.Kind.Kind)
    log.Println(msg)
    errMsg = errors.New(msg)
  }

  var status *apimetav1.Status  var allowed bool
  if _, ok := availableLabels[requiredLabels]; !ok || errMsg != nil {
    msg := "不符合條件"
    if err != nil {
        msg = fmt.Sprintln(errMsg)
    }
  }
  status = &apimetav1.Status{
      Message: msg,
      Reason:  apimetav1.StatusReason(msg),
      Code:    304,
    }
    allowed = false
  } else {
    Message: "通過(guò)",
    status = &apimetav1.Status{
     Reason:  "通過(guò)",
     Code:    200,
    }
    allowed = true
  }

  // 返回給k8s的消息
  are := &admissionv1.AdmissionReview{
    TypeMeta: apimetav1.TypeMeta{
      APIVersion: qar.APIVersion,
      Kind:       qar.Kind,
    },
    Response: &admissionv1.AdmissionResponse{
      Allowed: allowed,
      Result:  status,
      UID:     qar.Request.UID,
    },
  }

  resp, err := json.Marshal(are)
  checkErr(err)
  fmt.Println("響應(yīng):", string(resp))
  w.WriteHeader(200)
  w.Write(resp)

完整項(xiàng)目在https://github.com/NatureLR/admission-example

測(cè)試驗(yàn)證

• 在打了admission-webhook-example: enabled標(biāo)簽下的ns中隨便創(chuàng)建一個(gè)應(yīng)用會(huì)發(fā)現(xiàn)被拒絕

• 在給deployment打上了設(shè)定的標(biāo)簽之后就可以創(chuàng)建了，且deployment多了一個(gè)注解