Cloud Experte
Kubernetes Admission Webhooks¶
KubernetesWebhooksSecurityPolicy 5 Min. Lesezeit
Validating und Mutating Admission Webhooks. Policy Enforcement, Auto-Injection und Sicherheit in K8s-Clustern.
Webhook-Typen¶
Admission Webhooks fangen API-Anfragen ab, bevor sie in etcd gespeichert werden:
- Mutating — modifiziert das Objekt (Sidecar-Injection, Labels hinzufügen)
- Validating — validiert und lehnt ggf. ab (Policy Enforcement)
Reihenfolge: Mutating → Validating → Speicherung in etcd
Validating Webhook¶
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
name: deny-latest-tag
webhooks:
- name: deny-latest.example.com
rules:
- apiGroups: [""]
apiVersions: ["v1"]
operations: ["CREATE", "UPDATE"]
resources: ["pods"]
clientConfig:
service:
name: webhook-server
namespace: system
path: /validate
caBundle: LS0tLS1...
admissionReviewVersions: ["v1"]
sideEffects: None
failurePolicy: Fail
Mutating Webhook¶
Istio und andere Service Meshes nutzen Mutating Webhooks, um automatisch Sidecar-Proxys in jeden Pod eines gekennzeichneten Namespace zu injizieren.
- JSON-Patch-Operationen zum Hinzufügen von Containern
- Automatische Zertifikat-Injection
- Hinzufügen von Umgebungsvariablen und Volume Mounts
Zusammenfassung¶
Admission Webhooks sind ein mächtiges Werkzeug für Policy Enforcement und Automatisierung in K8s. Validating Webhooks erzwingen Regeln, Mutating Webhooks modifizieren Objekte automatisch.
Brauchen Sie Hilfe bei der Implementierung?¶
Unser Team hat Erfahrung mit dem Entwurf und der Implementierung moderner Architekturen. Wir helfen Ihnen gerne.