Questa pagina mostra come risolvere i problemi relativi a webhook problematici o non sicuri in Google Distributed Cloud.
Se hai bisogno di ulteriore assistenza, contatta l'assistenza clienti Google Cloud.Tipi di webhook problematici
I webhook di ammissione, o webhook in Kubernetes, sono un tipo
titolare di ammissione
che possono essere utilizzate nei cluster Kubernetes per convalidare o modificare le richieste
di controllo prima della persistenza
di una richiesta. È normale che le applicazioni di terze parti utilizzino webhook che operano su risorse e spazi dei nomi critici per il sistema. I webhook configurati in modo errato possono influire sul piano di controllo
le prestazioni e l'affidabilità. Ad esempio, un webhook configurato in modo errato creato da un'applicazione di terze parti potrebbe impedire a Google Distributed Cloud di creare e modificare le risorse nello spazio dei nomi kube-system gestito, il che potrebbe peggiorare la funzionalità del cluster.
I webhook problematici includono i seguenti tipi:
- Webhook che funzionano, ma non hanno endpoint disponibili. Segui le istruzioni per controllare i webhook senza endpoint disponibili.
Webhook considerati non sicuri in quanto operano su risorse e spazi dei nomi critici per il sistema.
I seguenti webhook sono considerati non sicuri:
- Webhook che intercettano pod e lease nello spazio dei nomi
kube-system. - Webhook che intercettano i lease nello spazio dei nomi
kube-node-lease. - Webhook che intercettano le risorse
Nodes,TokenReviews,SubjectAccessReviewseCertificateSigningRequests.
Segui le istruzioni per controllare gli webhook considerati non sicuri.
- Webhook che intercettano pod e lease nello spazio dei nomi
Webhook che non hanno endpoint disponibili
Se un webhook non ha endpoint disponibili, il servizio che supporta il webhook ha uno o più pod non in esecuzione. Per rendere disponibili gli endpoint webhook, segui le istruzioni per trovare e risolvere i problemi dei pod del servizio che supportano questo endpoint webhook:
Trova i pod di gestione per il servizio associato al webhook. Esegui questo comando per descrivere il servizio:
kubectl describe svc SERVICE_NAME -n SERVICE_NAMESPACESostituisci quanto segue:
- SERVICE_NAME con il nome del servizio.
- SERVICE_NAMESPACE con il nome dello spazio dei nomi.
Se non riesci a trovare il nome del servizio elencato nel webhook, significa che causata da una mancata corrispondenza tra il nome elencato configurazione e il nome effettivo del servizio. Per correggere la disponibilità dell'endpoint, aggiorna il nome del servizio nella configurazione dell'webhook in modo che corrisponda all'oggetto Service corretto.
Controlla i pod di pubblicazione di questo servizio. Identifica i pod che non sono in esecuzione elencando il deployment:
kubectl get deployment -n SERVICE_NAMESPACEIn alternativa, esegui il seguente comando per elencare i pod:
kubectl get pods -n SERVICE_NAMESPACE -o widePer tutti i pod che non sono in esecuzione, controlla i log dei pod per capire perché non è in esecuzione.
Webhook considerati non sicuri
Se un webhook intercetta risorse negli spazi dei nomi gestiti dal sistema, ti consigliamo di aggiornare gli webhook per evitare di intercettare queste risorse.
Controlla la configurazione dell'webhook. Esegui il seguente comando
kubectlper recuperare la configurazione dell'webhook:kubectl get validatingwebhookconfigurations CONFIGURATION_NAME -o yamlSostituisci CONFIGURATION_NAME con il nome della configurazione del webhook.
Se questo comando non restituisce nulla, eseguilo di nuovo sostituendo
validatingwebhookconfigurationsconmutatingwebhookconfigurations.Nella sezione
webhooksdell'output sono elencati uno o più webhook.Modifica la configurazione, a seconda del motivo per cui il webhook è considerato non sicuro:
Escludi gli spazi dei nomi kube-system e kube-node-lease
Un webhook è considerato non sicuro se
scopeè*o se l'ambito èNamespacede una delle seguenti condizioni è vera:La condizione
operatorèNotInevaluesomettekube-systemekube-node-lease, come nell'esempio seguente:webhooks: - admissionReviewVersions: ... namespaceSelector: matchExpressions: - key: kubernetes.io/metadata.name operator: NotIn values: - blue-system # add 'kube-system' and 'kube-node-lease' if `NotIn` objectSelector: {} rules: - apiGroups: ... scope: '*' # 'Namespaced' sideEffects: None timeoutSeconds: 3Assicurati che
scopesia impostato suNamespaced, non su*, in modo che il webhook opera solo in spazi dei nomi specifici. Assicurati che seoperatorèNotIn,kube-systemekube-node-leasesiano inclusi invalues.La condizione
operatorèInevaluesincludekube-systemekube-node-lease, come nell'esempio seguente:namespaceSelector: matchExpressions: - key: kubernetes.io/metadata.name operator: In values: - blue-system - kube-system # remove as operator is `In` - kube-node-lease # remove as operator is `In`Assicurati che
scopesia impostato suNamespaced, non su*, in modo che il webhook operi solo in spazi dei nomi specifici. Assicurati che seoperatorèIn,kube-systemekube-node-leasenon siano inclusi invalues.
Escludi risorse corrispondenti
Un webhook è considerato non sicuro anche se
nodes,tokenreviews,subjectaccessreviewsocertificatesigningrequestssono elencati in risorse, come nell'esempio seguente:- admissionReviewVersions: ... resources: - 'pods' # keep, remove everything else - 'nodes' - 'tokenreviews' - 'subjectacessreviews' - 'certificatesigningrequests' scope: '*' sideEffects: None timeoutSeconds: 3Rimuovi
nodes,tokenreviews,subjectaccessreviewsecertificatesigningrequestsdalla sezione delle risorse.