Webhook 模式
Webhook 是一种 HTTP 回调:当发生某些事情时发生的 HTTP POST;一种通过 HTTP POST 进行的简单事件通知。实现 Webhook 的 Web 应用程序会在某些事情发生时将消息 POST 到 URL。
当指定 Webhook 模式时,Kubernetes 在确定用户权限时会查询外部 REST 服务。
配置文件格式
Webhook 模式需要一个用于 HTTP 配置的文件,通过 --authorization-webhook-config-file=SOME_FILENAME 标志指定。
配置文件使用 kubeconfig 文件格式。在该文件中,“users” 指的是 API Server webhook,“clusters” 指的是远程服务。
使用 HTTPS 客户端身份验证的配置示例
# Kubernetes API version
apiVersion: v1
# kind of the API object
kind: Config
# clusters refers to the remote service.
clusters:
- name: name-of-remote-authz-service
cluster:
# CA for verifying the remote service.
certificate-authority: /path/to/ca.pem
# URL of remote service to query. Must use 'https'. May not include parameters.
server: https://authz.example.com/authorize
# users refers to the API Server's webhook configuration.
users:
- name: name-of-api-server
user:
client-certificate: /path/to/cert.pem # cert for the webhook plugin to use
client-key: /path/to/key.pem # key matching the cert
# kubeconfig files require a context. Provide one for the API Server.
current-context: webhook
contexts:
- context:
cluster: name-of-remote-authz-service
user: name-of-api-server
name: webhook
请求负载
当面临授权决策时,API Server 会 POST 一个 JSON 序列化的 authorization.k8s.io/v1beta1 SubjectAccessReview 对象,描述该操作。此对象包含描述尝试发起请求的用户的字段,以及关于正在访问的资源或请求属性的详细信息。
请注意,webhook API 对象与其他 Kubernetes API 对象一样,受制于相同的版本兼容性规则。实现者应该意识到 beta 对象的兼容性承诺较为宽松,并检查请求的“apiVersion”字段以确保正确反序列化。此外,API Server 必须启用 authorization.k8s.io/v1beta1 API 扩展组(--runtime-config=authorization.k8s.io/v1beta1=true)。
请求正文示例
{
"apiVersion": "authorization.k8s.io/v1beta1",
"kind": "SubjectAccessReview",
"spec": {
"resourceAttributes": {
"namespace": "kittensandponies",
"verb": "get",
"group": "unicorn.example.org",
"resource": "pods"
},
"user": "jane",
"group": [
"group1",
"group2"
]
}
}
远程服务需要填写请求的 status 字段,并响应以允许或拒绝访问。响应正文的 spec 字段会被忽略,可以省略。允许访问的响应会返回:
{
"apiVersion": "authorization.k8s.io/v1beta1",
"kind": "SubjectAccessReview",
"status": {
"allowed": true
}
}
对于拒绝访问,有两种方法。
第一种方法在大多数情况下是首选方法,它表明授权 webhook 不允许或对请求“没有意见”,但是如果配置了其他授权器,它们将有机会允许该请求。如果没有其他授权器,或者它们都没有允许该请求,则该请求将被禁止。webhook 将返回:
{
"apiVersion": "authorization.k8s.io/v1beta1",
"kind": "SubjectAccessReview",
"status": {
"allowed": false,
"reason": "user does not have read access to the namespace"
}
}
第二种方法立即拒绝,绕过其他配置的授权器的评估。只有那些详细了解集群完整授权器配置的 webhook 才应该使用此方法。webhook 将返回:
{
"apiVersion": "authorization.k8s.io/v1beta1",
"kind": "SubjectAccessReview",
"status": {
"allowed": false,
"denied": true,
"reason": "user does not have read access to the namespace"
}
}
对非资源路径的访问会发送为:
{
"apiVersion": "authorization.k8s.io/v1beta1",
"kind": "SubjectAccessReview",
"spec": {
"nonResourceAttributes": {
"path": "/debug",
"verb": "get"
},
"user": "jane",
"group": [
"group1",
"group2"
]
}
}
Kubernetes v1.32 [beta] (默认启用:true)启用 AuthorizeWithSelectors 功能后,请求中的字段和标签选择器将传递给授权 webhook。如果需要,webhook 可以根据限定范围的字段和标签选择器做出授权决策。
SubjectAccessReview API 文档提供了关于授权 webhook 应如何解释和处理这些字段的指导原则,特别是如何使用已解析的要求而不是原始选择器字符串,以及如何安全地处理无法识别的操作符。
{
"apiVersion": "authorization.k8s.io/v1beta1",
"kind": "SubjectAccessReview",
"spec": {
"resourceAttributes": {
"verb": "list",
"group": "",
"resource": "pods",
"fieldSelector": {
"requirements": [
{"key":"spec.nodeName", "operator":"In", "values":["mynode"]}
]
},
"labelSelector": {
"requirements": [
{"key":"example.com/mykey", "operator":"In", "values":["myvalue"]}
]
}
},
"user": "jane",
"group": [
"group1",
"group2"
]
}
}
非资源路径包括:/api、/apis、/metrics、/logs、/debug、/healthz、/livez、/openapi/v2、/readyz 和 /version。客户端需要访问 /api、/api/*、/apis、/apis/* 和 /version 才能发现服务器上存在哪些资源和版本。可以禁止访问其他非资源路径,而不会限制对 REST API 的访问。
有关更多信息,请参考 SubjectAccessReview API 文档 和 webhook.go 实现。