istio 之 sidecar 注入 Webhook

2024-06-04 22:48
文章标签 注入 istio webhook sidecar

本文主要是介绍istio 之 sidecar 注入 Webhook,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Istio通过对serviceMesh中的每个pod注入sidecar,来实现无侵入式的服务治理能力。
sidecar的注入是其能力实现的重要一环(在kubernetes集群中的注入方式)。sidecar注入有两种方式,
一是通过创建webhook资源,利用k8s的webhook能力实现pod的自动注入,
二是通过istioctl工具,对yaml文件进行手动注入。

https://istio.io/zh/docs/setup/kubernetes/additional-setup/sidecar-injection/
Pod 的必要功能
Pod 具备运行 Istio 初始化容器的权限;否则必须进行Service Account 赋权。
需要给端口正确命名: 服务端口必须进行命名
Pod 端口: Pod 必须包含每个容器将监听的明确端口列表
关联服务:Pod 不论是否公开端口,都必须关联到至少一个 Kubernetes 服务上,如果一个 Pod 属于多个服务,这些服务不能在同一端口上使用不同协议
Deployment 应带有 app 以及 version 标签
一、手动注入

就是在部署前修改yaml文件,在其中加入sidecar的配置,然后部署到kubernetes中去

### 查看原始内容-nginx.yaml  ###
#apiVersion: v1
#kind: ServiceAccount
#metadata:
#  name: nginx-web---
apiVersion: v1
kind: Service
metadata:name: nginx-weblabels:app: nginx-web
spec:ports:- name: httpport: 80targetPort: 80nodePort: 31000selector:app: nginx-webtype: NodePort---
apiVersion: extensions/v1beta1
kind: Deployment
metadata:name: nginx-web-v1
spec:replicas: 1template:metadata:labels:app: nginx-webversion: v1spec:# serviceAccountName: nginx-webcontainers:- name: nginx-webimage: registry.cn-hangzhou.aliyuncs.com/ccgg/nginx:v2imagePullPolicy: IfNotPresentports:- name: httpcontainerPort: 80env:- name: versionvalue: v1### 将 Sidecar 注入到 Deployment 中部署到kubernetes上
istioctl kube-inject -f nginx-web.yaml | kubectl apply -f - ###观察pod状态,可以看到pod的容器数由1变为2;pod中有两个容器:nginx和istio-proxy,手动注入成功。 ###
kubectl get pods### 查看pod详细内容 ###
kubectl describe pod nginx-web-v1-69577869dd-dr5fv
二、webhook自动注入
https://preliminary.istio.io/zh/docs/ops/setup/injection/### 准备条件 ###自动注入功能需要kubernetes 1.9或更高版本;kubernetes环境需支持MutatingAdmissionWebhook;$ kubectl api-versions | grep admissionregistration
admissionregistration.k8s.io/v1beta1需要在kube-apiserver的启动参数中加入;
--admission-control=MutatingAdmissionWebhook,ValidatingAdmissionWebhook###  自动注入控制###
在sidecar-injector的configmap中设置policy:disabled字段来设置是否启用自动注入(此处为全局控制是否启用自动注入功能);
//enabeld为开启,disabeld为关闭kubectl describe cm istio-sidecar-injector -n istio-system | grep policy
policy: enabled### 保sidecar-inject安装完成 ###
kubectl get po -n istio-system | grep sidecar-injector
istio-sidecar-injector-b88dfb954-gc4xz   1/1       Running     0          为需要自动注入的namespace打上标签istio-injection: enabled
###  查看 ###
kubectl get namespace -L istio-injection### 打标签 ###
kubectl label namespace default istio-injection=enabled### 删除标签 ###
kubectl label namespace default istio-injection-同时也可以在deployment中通过设置annotation,sidecar.istio.io/inject=true来控制pod级别的自动注入。
apiVersion: extensions/v1beta1
kind: Deployment
metadata:
name: test
spec:replicas: 1template:metadata:labels:app: my-nginxversion: v1annotations:sidecar.istio.io/inject: "true"// true为启用自动注入,false为关闭自动注入

这篇关于istio 之 sidecar 注入 Webhook的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1031342

相关文章

深入浅出Spring中的@Autowired自动注入的工作原理及实践应用

深入浅出Spring中的@Autowired自动注入的工作原理及实践应用

《深入浅出Spring中的@Autowired自动注入的工作原理及实践应用》在Spring框架的学习旅程中,@Autowired无疑是一个高频出现却又让初学者头疼的注解,它看似简单,却蕴含着Sprin... 目录深入浅出Spring中的@Autowired:自动注入的奥秘什么是依赖注入?@Autowired
阅读更多...
Spring 依赖注入与循环依赖总结

Spring 依赖注入与循环依赖总结

《Spring依赖注入与循环依赖总结》这篇文章给大家介绍Spring依赖注入与循环依赖总结篇,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录1. Spring 三级缓存解决循环依赖1. 创建UserService原始对象2. 将原始对象包装成工
阅读更多...
Spring-DI依赖注入全过程

Spring-DI依赖注入全过程

《Spring-DI依赖注入全过程》SpringDI是核心特性,通过容器管理依赖注入,降低耦合度,实现方式包括组件扫描、构造器/设值/字段注入、自动装配及作用域配置,支持灵活的依赖管理与生命周期控制,... 目录1. 什么是Spring DI?2.Spring如何做的DI3.总结1. 什么是Spring D
阅读更多...
Java Spring的依赖注入理解及@Autowired用法示例详解

Java Spring的依赖注入理解及@Autowired用法示例详解

《JavaSpring的依赖注入理解及@Autowired用法示例详解》文章介绍了Spring依赖注入(DI)的概念、三种实现方式(构造器、Setter、字段注入),区分了@Autowired(注入... 目录一、什么是依赖注入(DI)?1. 定义2. 举个例子二、依赖注入的几种方式1. 构造器注入(Con
阅读更多...
如何使用Lombok进行spring 注入

如何使用Lombok进行spring 注入

《如何使用Lombok进行spring注入》本文介绍如何用Lombok简化Spring注入,推荐优先使用setter注入,通过注解自动生成getter/setter及构造器,减少冗余代码,提升开发效... Lombok为了开发环境简化代码,好处不用多说。spring 注入方式为2种,构造器注入和setter
阅读更多...
SpringBoot项目注入 traceId 追踪整个请求的日志链路(过程详解)

SpringBoot项目注入 traceId 追踪整个请求的日志链路(过程详解)

《SpringBoot项目注入traceId追踪整个请求的日志链路(过程详解)》本文介绍了如何在单体SpringBoot项目中通过手动实现过滤器或拦截器来注入traceId,以追踪整个请求的日志链... SpringBoot项目注入 traceId 来追踪整个请求的日志链路,有了 traceId, 我们在排
阅读更多...
SQL注入漏洞扫描之sqlmap详解

SQL注入漏洞扫描之sqlmap详解

《SQL注入漏洞扫描之sqlmap详解》SQLMap是一款自动执行SQL注入的审计工具,支持多种SQL注入技术,包括布尔型盲注、时间型盲注、报错型注入、联合查询注入和堆叠查询注入... 目录what支持类型how---less-1为例1.检测网站是否存在sql注入漏洞的注入点2.列举可用数据库3.列举数据库
阅读更多...
PHP防止SQL注入详解及防范

PHP防止SQL注入详解及防范

SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞。 一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的
阅读更多...
PHP防止SQL注入的方法(2)

PHP防止SQL注入的方法(2)

如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE”); DROP TA
阅读更多...
PHP防止SQL注入的方法(1)

PHP防止SQL注入的方法(1)

(1)mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 使用方法如下: $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and password='". mysql_r
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2