Soluciona problemas de webhook de GKE en Azure
En esta página, se muestra cómo resolver problemas relacionados con webhooks problemáticos o no seguros en GKE on Azure.
Si necesitas asistencia adicional, comunícate con Atención al cliente de Cloud.Tipos de webhooks problemáticos
Los webhooks de admisión, o webhooks en Kubernetes, son un tipo de controlador de admisión que se puede usar en los clústeres de Kubernetes para validar o modificar las solicitudes al plano de control antes de que persista una solicitud. Es común que las aplicaciones de terceros usen webhooks que operan en recursos críticos del sistema y espacios de nombres. Los webhooks configurados de forma incorrecta pueden afectar el rendimiento y la confiabilidad del plano de control. Por ejemplo, un webhook configurado de forma incorrecta y creado por una aplicación de terceros podría impedir que GKE on Azure cree y modifique recursos en el espacio de nombres kube-system administrado, lo que podría degradar la funcionalidad del clúster.
Los webhooks problemáticos incluyen los siguientes tipos:
- Webhooks que funcionan, pero no tienen extremos disponibles. Sigue las instrucciones para verificar los webhooks sin extremos disponibles.
Webhooks que se consideran inseguros, ya que operan en espacios de nombres y recursos críticos del sistema.
Los siguientes webhooks se consideran poco seguros:
- Webhooks que interceptan Pods y asignaciones en el espacio de nombres
kube-system - Webhooks que interceptan asignaciones de tiempo en el espacio de nombres
kube-node-lease - Webhooks que interceptan recursos
Nodes,TokenReviews,SubjectAccessReviewsyCertificateSigningRequests
Sigue las instrucciones para verificar los webhooks que se consideran no seguros.
- Webhooks que interceptan Pods y asignaciones en el espacio de nombres
Webhooks que no tienen extremos disponibles
Si un webhook no tiene extremos disponibles, el servicio que respalda el extremo de webhook tiene uno o más Pods que no están en ejecución. Si deseas que los extremos de webhook estén disponibles, sigue las instrucciones para encontrar y solucionar los problemas de los pods del servicio que respaldan este extremo de webhook:
Busca los Pods de entrega para el Service asociado con el webhook. Ejecuta el siguiente comando para describir el servicio:
kubectl describe svc SERVICE_NAME -n SERVICE_NAMESPACEReemplaza lo siguiente:
- SERVICE_NAME por el nombre del Service
- SERVICE_NAMESPACE por el nombre del espacio de nombres
Si no puedes encontrar el nombre del servicio enumerado en el webhook, es posible que el extremo no disponible se deba a una discrepancia entre el nombre indicado en la configuración y el nombre real del servicio. Para corregir la disponibilidad del extremo, actualiza el nombre del Service en la configuración del webhook para que coincida con el objeto Service correcto.
Inspecciona los Pods de entrega para este Service. Para identificar los Pods que no se están ejecutando, enumera el Deployment:
kubectl get deployment -n SERVICE_NAMESPACEO bien, ejecuta el siguiente comando para mostrar los Pods:
kubectl get pods -n SERVICE_NAMESPACE -o wideEn el caso de los Pods que no se están ejecutando, inspecciona los registros del Pod para ver por qué no se están ejecutando.
Webhooks que se consideran poco seguros
Si un webhook intercepta algún recurso en los espacios de nombres administrados por el sistema, recomendamos que los actualices para evitar interceptar estos recursos.
Inspecciona la configuración del webhook. Ejecuta el siguiente comando de
kubectlpara obtener la configuración del webhook:kubectl get validatingwebhookconfigurations CONFIGURATION_NAME -o yamlReemplaza CONFIGURATION_NAME por el nombre de la configuración de webhook.
Si este comando no muestra nada, vuelve a ejecutarlo y reemplaza
validatingwebhookconfigurationspormutatingwebhookconfigurations.En la sección
webhooksdel resultado, se enumeran uno o más webhooks.Edita la configuración, según el motivo por el que el webhook se considera no seguro:
Excluye los espacios de nombres kube-system y kube-node-lease
Un webhook se considera no seguro si
scopees*, o si el alcance esNamespacedy se cumple alguna de las siguientes condiciones:La condición
operatoresNotIn, yvaluesomitekube-systemykube-node-lease, como se muestra en el siguiente ejemplo:webhooks: - admissionReviewVersions: ... namespaceSelector: matchExpressions: - key: kubernetes.io/metadata.name operator: NotIn values: - blue-system # add 'kube-system' and 'kube-node-lease' if `NotIn` objectSelector: {} rules: - apiGroups: ... scope: '*' # 'Namespaced' sideEffects: None timeoutSeconds: 3Asegúrate de que
scopeesté configurado comoNamespaced, no*, para que el webhook solo funcione en espacios de nombres específicos. Asegúrate de que sioperatoresNotIn,kube-systemykube-node-leasese incluyan envalues.La condición
operatoresIn, yvaluesincluyekube-systemykube-node-lease, como se muestra en el siguiente ejemplo:namespaceSelector: matchExpressions: - key: kubernetes.io/metadata.name operator: In values: - blue-system - kube-system # remove as operator is `In` - kube-node-lease # remove as operator is `In`Asegúrate de que
scopeesté configurado comoNamespaced, no*, para que el webhook solo funcione en espacios de nombres específicos. Asegúrate de que sioperatoresIn,kube-systemykube-node-leaseno se incluyan envalues.
Excluye recursos coincidentes
Un webhook también se considera no seguro si
nodes,tokenreviews,subjectaccessreviewsocertificatesigningrequestsse enumeran en la sección de recursos, como en el siguiente ejemplo:- admissionReviewVersions: ... resources: - 'pods' # keep, remove everything else - 'nodes' - 'tokenreviews' - 'subjectacessreviews' - 'certificatesigningrequests' scope: '*' sideEffects: None timeoutSeconds: 3Quita
nodes,tokenreviews,subjectaccessreviewsycertificatesigningrequestsde la sección de recursos.