Kubernetes Admission Webhooks

Validating a Mutating admission webhooks. Policy enforcement, auto-injection a bezpečnost v K8s clusteru.

Typy Webhooků

Admission webhooky intercepují API requesty před uložením do etcd:

• Mutating — modifikuje objekt (injection sidecar, přidání labels)
• Validating — validuje a případně odmítne (policy enforcement)

Pořadí: Mutating → Validating → Persist to etcd

Validating Webhook

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: deny-latest-tag
webhooks:
  - name: deny-latest.example.com
    rules:
      - apiGroups: [""]
        apiVersions: ["v1"]
        operations: ["CREATE", "UPDATE"]
        resources: ["pods"]
    clientConfig:
      service:
        name: webhook-server
        namespace: system
        path: /validate
      caBundle: LS0tLS1...
    admissionReviewVersions: ["v1"]
    sideEffects: None
    failurePolicy: Fail

Mutating Webhook

Istio a další service mesh používají mutating webhook k automatické injekci sidecar proxy do každého podu v označeném namespace.

• JSON Patch operace pro přidání kontejnerů
• Automatická injekce certifikátů
• Přidání environment variables a volume mounts

Shrnutí

Admission webhooks jsou mocný nástroj pro policy enforcement a automatizaci v K8s. Validating vynucují pravidla, mutating automaticky modifikují objekty.