3.3.6       WebHook

1. WebHook是什么

 

WebHook与过滤器的作用类似，任何对 CRD进行变更的操作都会交由 WebHook提前处理，处理完后，才会转给 Controller 继续处理，WebHook流程如图 3-6所示。

图 3—6WebHook 流程

 

根据 Kubernetes官方博客的介绍，WebHook 具有以下两个功能。

（1）  修改（Mutating）：对CRD 进行修改，如为资源自动打标签等。

（2）  验证（Validating）：对 CRD进行验证，如判断该字段的设定是否在取值范围内。引用 Kubernetes 官方博客的一张图来说明 Mutating及Validating 操作所在的位置，如

图3-7所示。

 

 

 

 

 

 

 

 

 

具体说明如下。

图 3—7    Mutatng及 Vaidatng 严作所在的位置

（1）APIServer接收到 API请求。

（2）请求经过认证、鉴权。

（3）  执行 MutatingAdmission的 WebHookList。

（4）  对请求对象的 Schema进行校验。

（5）  执行 ValidatingAdmission的 WebHookList。

（6）  最后写入 ETCD。

 

2. Controller-runtime中的 WebHook框架

 

Controller-runtime为用户提供了一个简单快捷的WebHook框架，可通过该框架，快速创建 WebHook，并将处理函数注入 WebHookServer中，通过 WebHook 的处理函数，即可实现 CRD的修改和验证操作。

（1） Server的创建

通过Controller-runtime提供的WebHookServer包，可快速地构建出一个HTTPServer，该 Server用于接收来自 Kube-APIServer的请求，并将请求转发到对应的 Handler进行处理。

WebHookServer主要用于保存注册的WebHook（见代码清单3-46）。

typeServerstruct{

...

//下⾯的webhooks会跟踪所有已注册的webhooks，以便进⾏依赖注⼊，并在重复的Webhook

注册时提供更好的告警

webhooksmap[string]http.Handler

...

}

 

开发者可通过 WebHook包中的 func(s*Server)Register(pathstring, hookhttp.Handler){}，将开发好的 WebHook注册到 Server中，WebHook其实就是一个 HTTP请求的处理函数。

（2） Handler 的实现

开发者在实现 Handler的时候，只需要实现 WebHook包定义好的 Interface即可（见代码清单3-47）。

//HandlerFunc函数⽤来实现 Handler接⼝

typeHandlerFuncfunc(context.Context,Request)Response

 

在此基础上，WebHook包提供了 Handler 函数返回体的各种封装，开发者可基于这些封装实现自定义的业务逻辑。

对于 Admission的 WebHook，定义了两种最基本的返回体封装函数。

（1）  允许：该封装函数表明对CRD的某种操作是允许的（见代码清单3-48）。

funcAllowed(reasonstring)Response{returnValidationResponse(true,reason)

}

 

（2）   拒绝：该封装函数表明对CRD的某种操作是拒绝的（见代码清单3-49）。

funcDenied(reasonstring)Response{returnValidationResponse(false,reason) 

}

 

 

3. WebHook示例

 基于前面的介绍，本节将给出一个WebHook的简单示例（见代码清单3-50）。

//创建Manager

mgr,err:=ctrl.NewManager(ctrl.GetConfigOrDie(),ctrl.Options{})

iferr!=nil{

panic(err)

}

 

//创建 WebHook ServerhookServer:= &Server{

Port:8443,

}

if err:=mgr.Add(hookServer);err!=nil{panic(err)

}

 

//创建 WebHook的处理函数

validatingHook:=&Admission{

Handler:admission.HandlerFunc(func(ctxcontext.Context,req

AdmissionRequest)AdmissionResponse{

returnDenied("noneshallpass!")

}),

}

 

//将Handler注册到WebHookServer中

hookServer.Register("/validating",validatingHook)

 

//启动Manager，启动 WebHookServer

err=mgr.Start(ctrl.SetupSignalHandler())iferr!=nil{

panic(err)

}