Auf dieser Seite erfahren Sie, wie Sie Probleme mit problematischen oder unsicheren Webhooks in GKE on AWS beheben.
Wenn Sie weitere Unterstützung benötigen, wenden Sie sich an den Cloud Customer Care.Arten problematischer Webhooks
Zulassungs-Webhooks oder Webhooks sind in Kubernetes eine Art von Admission-Controller, die in Kubernetes-Clustern verwendet werden können, um Anfragen an die Steuerungsebene zu validieren oder zu mutieren, bevor eine Anfrage beibehalten wird. Es ist üblich, dass Anwendungen von Drittanbietern Webhooks verwenden, die mit systemkritischen Ressourcen und Namespaces ausgeführt werden. Falsch konfigurierte Webhooks können sich auf die Leistung und Zuverlässigkeit der Steuerungsebene auswirken. Beispiel: Ein falsch konfigurierter Webhook, der von einer
Drittanbieteranwendung erstellt wurde,
könnte GKE on AWS daran hindern,
Ressourcen im verwalteten Namespace kube-system zu erstellen und zu ändern, was
die Funktionalität des Clusters beeinträchtigen kann.
Zu problematischen Webhooks gehören:
- Webhooks, die funktionieren, die aber keine Endpunkte haben. Folgen Sie der Anleitung unter Webhooks prüfen, die keine verfügbaren Endpunkte haben.
Webhooks, die als unsicher angesehen werden, da sie systemkritische Ressourcen und Namespaces bearbeiten.
Die folgenden Webhooks gelten als unsicher:
- Webhooks, die Pods und Leases im Namespace
kube-systemabfangen. - Webhooks, die Leases im Namespace
kube-node-leaseabfangen. - Webhooks, die die Ressourcen
Nodes,TokenReviews,SubjectAccessReviews, undCertificateSigningRequests. abfangen.
Folgen Sie der Anleitung zum Webhooks prüfen, die als unsicher gelten.
- Webhooks, die Pods und Leases im Namespace
Webhooks ohne verfügbare Endpunkte
Wenn ein Webhook keine verfügbaren Endpunkte hat, hat der Dienst, der den Webhook-Endpunkt unterstützt, einen oder mehrere Pods, die nicht ausgeführt werden. Um die Webhook-Endpunkte verfügbar zu machen, folgen Sie der Anleitung, um die Pods des Dienstes zu finden und Fehler zu beheben, der diesen Webhook-Endpunkt unterstützt:
Suchen Sie die Bereitstellungs-Pods für den Dienst, der dem Webhook zugeordnet ist. Führen Sie den folgenden Befehl aus, um den Dienst zu beschreiben:
kubectl describe svc SERVICE_NAME -n SERVICE_NAMESPACEErsetzen Sie Folgendes:
- SERVICE_NAME durch den Namen des Dienstes.
- SERVICE_NAMESPACE durch den Namen des Namespace.
Wenn Sie den Dienstnamen im Webhook nicht finden können, könnte der nicht verfügbare Endpunkt durch eine Abweichung zwischen dem in der Konfiguration aufgelisteten Namen und dem tatsächlichen Namen des Dienstes entstanden sein. Aktualisieren Sie den Dienstnamen in der Webhook-Konfiguration mit dem richtigen Dienstobjekt, um die Endpunktverfügbarkeit zu korrigieren.
Prüfen Sie die Bereitstellungs-Pods für diesen Dienst. Ermitteln Sie, welche Pods nicht ausgeführt werden. Listen Sie dazu das Deployment auf:
kubectl get deployment -n SERVICE_NAMESPACEOder führen Sie den folgenden Befehl aus, um die Pods aufzulisten:
kubectl get pods -n SERVICE_NAMESPACE -o widePrüfen Sie für alle nicht ausgeführten Pods in den Pod-Logs, warum der Pod nicht ausgeführt wird.
Webhooks, die als unsicher gelten
Wenn ein Webhook Ressourcen in vom System verwalteten Namespaces abfängt, empfehlen wir, die Webhooks zu aktualisieren, damit diese Ressourcen nicht abgefangen werden.
Prüfen Sie die Webhook-Konfiguration. Führen Sie den folgenden
kubectl-Befehl aus, um Rufen Sie die Webhook-Konfiguration ab:kubectl get validatingwebhookconfigurations CONFIGURATION_NAME -o yamlErsetzen Sie CONFIGURATION_NAME durch den Namen Webhook-Konfiguration.
Wenn bei diesem Befehl nichts zurückgegeben wird, führen Sie den Befehl noch einmal aus und ersetzen Sie dabei
validatingwebhookconfigurationsdurchmutatingwebhookconfigurations.Im Abschnitt
webhooksder Ausgabe werden ein oder mehrere Webhooks aufgeführt.Bearbeiten Sie die Konfiguration je nachdem, warum der Webhook als unsicher gilt:
Namespaces „kube-system” und „kube-node-lease” ausschließen
Ein Webhook gilt als unsicher, wenn
scopeden Wert*hat oder wenn der BereichNamespacedist und eine der folgenden Bedingungen erfüllt ist:Die
operator-Bedingung istNotInundvalueslässtkube-systemundkube-node-leasewie im folgenden Beispiel aus:webhooks: - admissionReviewVersions: ... namespaceSelector: matchExpressions: - key: kubernetes.io/metadata.name operator: NotIn values: - blue-system # add 'kube-system' and 'kube-node-lease' if `NotIn` objectSelector: {} rules: - apiGroups: ... scope: '*' # 'Namespaced' sideEffects: None timeoutSeconds: 3Achten Sie darauf, dass
scopeaufNamespacedund nicht auf*festgelegt ist, damit der Webhook nur in bestimmten Namespaces ausgeführt wird. Achten Sie darauf, dass wennoperatorNotInist,kube-systemundkube-node-leaseinvaluesenthalten sein müssen.Die
operator-Bedingung istInundvaluesenthältkube-systemundkube-node-leasewie im folgenden Beispiel:namespaceSelector: matchExpressions: - key: kubernetes.io/metadata.name operator: In values: - blue-system - kube-system # remove as operator is `In` - kube-node-lease # remove as operator is `In`Achten Sie darauf, dass
scopeaufNamespacedund nicht auf*festgelegt ist, damit der Webhook nur in bestimmten Namespaces ausgeführt wird. Achten Sie darauf, dasskube-systemundkube-node-leasenicht invaluesenthalten ist, wennoperatorInist.
Übereinstimmende Ressourcen ausschließen
Ein Webhook gilt auch als unsicher, wenn
nodes,tokenreviews,subjectaccessreviewsodercertificatesigningrequestswie im folgenden Beispiel unter Ressourcen aufgeführt sind:- admissionReviewVersions: ... resources: - 'pods' # keep, remove everything else - 'nodes' - 'tokenreviews' - 'subjectacessreviews' - 'certificatesigningrequests' scope: '*' sideEffects: None timeoutSeconds: 3Entfernen Sie
nodes,tokenreviews,subjectaccessreviewsundcertificatesigningrequestsaus dem Ressourcenabschnitt.