编辑“︁Kubernetes Webhoo”︁

= Kubernetes Webhook =

== 介绍 ==  
'''Kubernetes Webhook''' 是一种扩展机制，允许用户在 Kubernetes 控制平面中注入自定义逻辑。通过 Webhook，开发者可以拦截并修改 Kubernetes API 请求（如资源创建、更新或删除），从而实现准入控制、动态配置或自定义验证等功能。Webhook 分为两类：  
* '''Mutating Webhook'''：修改请求中的资源对象（如注入 Sidecar 容器）。  
* '''Validating Webhook'''：验证请求是否符合自定义规则（如检查资源字段的合法性）。  

Webhook 通过 HTTP 回调（通常由开发者实现的服务处理）与 Kubernetes API 交互，是构建策略引擎（如 OPA Gatekeeper）和自动化工具（如 Cert-Manager）的核心技术。

== 工作原理 ==  
<mermaid>  
sequenceDiagram  
    participant User as 用户  
    participant API as Kubernetes API  
    participant Webhook as Webhook 服务  
    User->>API: 提交资源创建请求（如 Pod）  
    API->>Webhook: 转发请求到 Webhook  
    Webhook->>API: 返回修改/验证结果  
    API->>User: 最终响应（成功/失败）  
</mermaid>  

=== 关键组件 ===  
1. '''Webhook 配置'''：通过 `ValidatingWebhookConfiguration` 或 `MutatingWebhookConfiguration` 资源注册。  
2. '''Webhook 服务'''：独立运行的 HTTP 服务，处理 API 请求。  
3. '''CA 证书'''：确保 API Server 与 Webhook 间的 TLS 通信安全。  

== 代码示例 ==  
以下是一个简单的 Validating Webhook 示例，拒绝所有 `nginx` 镜像的 Pod 创建请求：  

=== Webhook 服务（Python + Flask） ===  
<syntaxhighlight lang="python">  
from flask import Flask, request, jsonify  

app = Flask(__name__)  

@app.route('/validate', methods=['POST'])  
def validate():  
    request_data = request.get_json()  
    pod_spec = request_data["request"]["object"]["spec"]  
    containers = pod_spec["containers"]  

    for container in containers:  
        if "nginx" in container["image"]:  
            return jsonify({  
                "response": {  
                    "allowed": False,  
                    "status": {"message": "nginx 镜像被禁止"}  
                }  
            })  

    return jsonify({"response": {"allowed": True}})  

if __name__ == '__main__':  
    app.run(ssl_context=('cert.pem', 'key.pem'), host='0.0.0.0', port=443)  
</syntaxhighlight>  

=== Webhook 配置（YAML） ===  
<syntaxhighlight lang="yaml">  
apiVersion: admissionregistration.k8s.io/v1  
kind: ValidatingWebhookConfiguration  
metadata:  
  name: deny-nginx  
webhooks:  
- name: deny-nginx.example.com  
  rules:  
  - operations: ["CREATE"]  
    apiGroups: [""]  
    apiVersions: ["v1"]  
    resources: ["pods"]  
  clientConfig:  
    service:  
      name: webhook-service  
      namespace: default  
      path: "/validate"  
      port: 443  
    caBundle: <CA_CERT_BASE64>  
  admissionReviewVersions: ["v1"]  
  sideEffects: None  
  timeoutSeconds: 5  
</syntaxhighlight>  

== 实际应用场景 ==  
1. '''安全策略'''：禁止使用高危镜像（如旧版 Redis）。  
2. '''资源标准化'''：自动为 Pod 添加标签或资源限制。  
3. '''证书管理'''：自动签发 TLS 证书（如 Cert-Manager）。  

== 数学原理（可选） ==  
Webhook 的决策逻辑可形式化为谓词函数：  
<math>  
\Phi(request) \rightarrow \{\text{allow}, \text{deny}\}  
</math>  

== 注意事项 ==  
* '''性能'''：Webhook 超时可能导致 API 请求失败（默认 10 秒）。  
* '''幂等性'''：Mutating Webhook 需避免多次修改同一字段。  
* '''故障模式'''：Webhook 服务宕机会阻断集群操作（可通过 `failurePolicy: Ignore` 缓解）。  

== 总结 ==  
Kubernetes Webhook 是强大的扩展工具，适合实现自定义策略和自动化流程。开发者需注意安全性（TLS）、性能（超时）和可靠性（重试机制）的设计。

[[Category:集成部署]]
[[Category:Kubernetes]]
[[Category:Kubernetes扩展]]