Istio如何实现自动注入?

最新推荐文章于 2025-02-09 04:27:48 发布
最新推荐文章于 2025-02-09 04:27:48 发布
阅读量990 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 虚拟化 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33745102/article/details/122406610
本文介绍Istio如何利用Kubernetes的AdmissionControllers,在部署时自动为应用添加Sidecar容器。通过MutatingAdmissionWebhook和ValidatingAdmissionWebhook控制器,在资源对象持久化前进行修改与验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

当命名空间激活istio注入功能时,比如部署一个deployment,会发现业务容器旁多了一个sidecar容器。

istio是如何实现这一点的呢?使用的是Admission Controllers中的两个特殊的控制器:MutatingAdmissionWebhookValidatingAdmissionWebhook

AdmissionController 会在客户端请求经过认证授权验证后,在对象持久化到etcd之前拦截请求。

参考:https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers

时序图

在这里插入图片描述

  1. kubectl 注册一个ValidatingWebhookConfiguration/MutatingWebhookConfiguration对象, 对象包含触发webhook调用的条件,webhook server地址 etc。
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: "pod-policy.example.com"
webhooks:
- name: "pod-policy.example.com"
  # 触发webhook的条件
  rules:
  - apiGroups:   [""]
    apiVersions: ["v1"]
    operations:  ["CREATE"]
    resources:   ["pods"]
    scope:       "Namespaced"
  clientConfig:
    # webhook server的服务地址
    service:
      namespace: "example-namespace"
      name: "example-service"
    caBundle: "Ci0tLS0tQk...<`caBundle` is a PEM encoded CA bundle which will be used to validate the webhook's server certificate.>...tLS0K"
  admissionReviewVersions: ["v1", "v1beta1"]
  sideEffects: None
  timeoutSeconds: 5

  1. 当用户使用kubectl apply 注册了感兴趣的资源,此处为新的Deployment。API Server就会触发webhook调用。

  2. API Server首先会调用所有的mutating admission webhook, 用于设置资源对象的默认值。
    然后调用所有的validating admission webhook,用于验证资源对象的合法性。

  3. 经过webhook验证的资源对象,最后持久化到etcd中。

调用webhook

第三步的具体流程是:

APIServer发起一个POST HTTP请求,请求体中包含AdmissionReview对象。AdmissionReview包含了更改Resource的信息,
Webhook Server返回一个AdmissionReview对象,作为Response。

触发mutating admission webhook 调用时,可以实现sidecar注入逻辑。只需要webhook server实现处理AdmissionReview的信息,添加sidecar容器信息即可。

istio-sidecar自动注入
xuehen's log
03-24 836
Sidecar 介绍 在Sidecar部署方式中会为每个应用的容器部署一个伴生容器。对于Istio,Sidecar接管进出应用程序容器的所有网络流量。 使用 Sidecar 模式部署服务网格时,无需在节点上运行代理,但是集群中将运行多个相同的 Sidecar 副本。在 Kubernetes 的 Pod 中,在原有的应用容器旁边运行一个 Sidecar 容器,可以理解为两个容器共享存储、网络等资源,可以广义的将这个注入了 Sidecar 容器的 Pod 理解为一台主机,两个容器共享主机资源。 Sideca
K8S如何基于Istio实现全链路HTTPS
CharlesYan的博客
11-11 1627
基于Istio实现全链路HTTPS实操指南
Istio 1.11.2 底层自动注入流程
baobaoxiannv的博客
02-08 1561
自动注入流程 简单说下 正式开始之前简单说一下 webhook,这样对以下理解更方便一些。 准入控制器也就是 webhook 会拦截 API Server 收到的请求,拦截发生在认证和鉴权完成之后,对象进行持久化之前(这个时候可以修改 pod 模版完成自动注入)。可以定义两种类型的 webhook: Mutating 和 Validating Mutating 修改资源,可以对请求内容进行修改 Validating 验证资源,根据请求的内容判断是继续执行该请求还是拒绝该请求 实现流程 pkg/kub
Istio实现sidecar自动注入
qq_40189664的博客
11-13 101
Istio实现sidecar自动注入 Sidecar模式 在Sidecar部署方式中,你会为每个应用的容器部署一个伴生容器。对于Service Mesh,Sidecar接管进出应用程序容器的所有网络流量。 Sidecar有利于工作审计,特别是在一些与安全相关的方面。 原理解析 原理图 自动注入是通过 kube-apiserver 准入控制实现的。简单来说,istio-sid...
三, 跨语言微服务框架 - Istio官方示例(自动注入.请求路由.流量控制.故障注入)...
weixin_33769125的博客
11-19 413
2019独角兽企业重金招聘Python工程师标准>>> ...
Istio技术与实践03:最佳实践之sidecar自动注入
weixin_34203832的博客
08-30 373
Istio通过对serviceMesh中的每个pod注入sidecar,来实现无侵入式的服务治理能力。其中,sidecar的注入是其能力实现的重要一环(本文主要介绍在kubernetes集群中的注入方式)。sidecar注入有两种方式,一是通过创建webhook资源,利用k8s的webhook能力实现pod的自动注入,二是通过istioctl工具,对yaml文件进行手动注入。在这里对这两种方式进行...
【服务网格与Istio (一)】Istio是什么?和Kubernetes有什么关系
Irene的博客
06-17 678
Istio是什么?和Kubernetes有什么关系
Kubernetes集成Istio实现服务网格化与自动扩容
### 知识点详解 #### 标题解析:k8sistio...在部署完成后,Istio 将为 Kubernetes 集群中的服务提供服务网格化功能,并且可以通过 Istio 的控制面板和 Kubernetes自动扩容机制(如 HPA)实现服务的高效和智能管理。
KubernetesIstio的应用与部署详解:版本支持、架构图、配置及Sidecar注入
最新发布
03-24
内容概要:本文档详细介绍了IstioKubernetes中的应用,重点讲述了版本支持情况、基于Operator方式的Istio架构、Istio的部署配置步骤及sidecar自动注入的使用。对于不同版本的Istio,提供了支持周期、兼容的...
Istio sidecar 自动注入原理、开启全局注入(在所有命名空间自动注入
shida's blog
05-31 7511
一、背景介绍 Istio 作为重要的 ServiceMesh 框架,已经被越来越多的公司所使用。在 Istio 体系中,应用容器的出入流量都需要经过 Sidecar 的拦截和处理。默认地,Istio sidecar 自动注入是通过给 namespace 打 istio-injection=enabled 或 istio-injection=disabled 标签,来确定是否在该命名空间执行自动注入...
istio实现自动sidecar自动注入(k8s1.13.3+istio1.1.1)
weixin_30496431的博客
03-31 441
一、自动注入的前提条件 自动注入功能需要kubernetes 1.9或更高版本; kubernetes环境需支持MutatingAdmissionWebhook; 二、在namespace中设置自动注入,这样所有在该namespace的创建的pod都会自动注入sidecar代理 以default命名空间为例: kubectl label na...
istio 如何解除自动注入
陈锐的技术笔记
10-10 448
istio 的使用和解除自动注入
开启Istio-sidecar注入
ᠮᠤᠷᠢᠨ ᠬᠤᠭᠤᠷ
06-11 349
通过修改namespace实现自动注入 kubectl label namespaces auto istio-injection=enabled kubectl edit namespace auto
Kubersphere平台中开启 Istio自动注入
qq_36200932的博客
02-24 1379
Kubersphere平台中开启 Istio自动注入
Istio 自动注入原理及复现一个简单的自动注入
Doub1's Blog
02-09 1002
Istio 自动注入原理, mutatingwebhookconfiguration,复现简单的自动注入
istio sidecar自动注入过程分析
weixin_33882452的博客
12-08 547
目录 istio sidecar自动注入过程分析 sidecar自动注入检查 检查kube-apiserver 检查sidecar-injector的configmap 检查namespace标签 sidecar自动注入过程 web...
Istio注入与分析
jiayu的博客
04-18 608
浅析一下Istio手工注入自动注入,以及注入时发生了什么
注入 Istio sidecar
weixin_30678821的博客
06-18 242
注入 Istio sidecar 网格中的每个 Pod 都必须伴随一个 Istio 兼容的 Sidecar 一同运行。 下文中将会介绍两种把 Sidecar 注入到 Pod 中的方法:使用 istioctl 客户端工具进行注入,或者使用 Istio sidecar injector 自动完成注入过程。 手工注入过程会修改控制器(例如 Deployment)的配置。这种注入方法会修改 Pod ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值