如何用Golang编写K8s Admission Controller 解析动态准入控制-Golang-PHP中文网

如何用Golang编写K8s Admission Controller 解析动态准入控制

P粉602998670

发布： 2025-08-18 17:08:01

原创

237人浏览过

准入控制器是kubernetes中用于拦截并处理资源请求的插件，实现动态准入控制的关键手段之一是使用golang编写外部webhook类型的控制器。具体步骤包括：1.搭建基础结构，使用golang写一个监听/mutate和/validate路径的https webhook服务；2.解析请求内容，从admissionreview结构中提取资源信息；3.编写mutating逻辑（如为pod添加标签）和validating逻辑（如拒绝无资源限制的容器）；4.部署到集群，配置validatingwebhookconfiguration并生成tls证书，确保服务可被访问。通过以上步骤即可完成基本的admission controller实现。

如何用Golang编写K8s Admission Controller 解析动态准入控制

编写 Kubernetes 的 Admission Controller 是实现动态准入控制的关键手段之一。Golang 作为 Kubernetes 的原生开发语言，自然是首选。下面从几个关键点出发，带你了解如何用 Golang 实现一个基本的 K8s Admission Controller。

准入控制器是什么？为什么需要它？

Admission Controller（准入控制器）是 Kubernetes 中用于拦截并处理资源请求的插件。它可以修改或拒绝 API 请求，在对象被持久化之前进行额外校验或注入配置。例如：

在 Pod 创建时自动注入 sidecar 容器
拒绝没有指定资源限制的容器
校验自定义 CRD 是否符合规范

Kubernetes 支持内置和外部准入控制器，我们这里说的是构建外部的、可部署的 webhook 类型控制器。

立即学习“go语言免费学习笔记（深入）”；

搭建基础结构：写一个简单的 HTTP Server

Admission Controller 本质上是一个 HTTPS Webhook 服务，监听特定路径并返回响应。你不需要自己实现整个 Kubernetes API，只需要处理

/mutate

登录后复制

和

/validate

登录后复制

路径下的请求。

package main

import (
    "fmt"
    "net/http"

    "github.com/gin-gonic/gin"
)

func main() {
    r := gin.Default()

    r.POST("/mutate", mutateHandler)
    r.POST("/validate", validateHandler)

    fmt.Println("Starting server on :443")
    // 注意：需要 TLS 证书
    r.RunTLS(":443", "server.crt", "server.key")
}

登录后复制

关键点：

必须使用 HTTPS，否则 Kubernetes 不会信任
接口路径必须与 Kubernetes 配置中一致
控制器应支持
```
/healthz
```
登录后复制
端点用于健康检查

解析请求内容：理解 AdmissionReview 结构

Kubernetes 发送的请求体是

AdmissionReview

登录后复制

对象，包含请求元数据和资源信息。你需要从中提取出原始资源内容（如 Pod、Deployment 等）。

type AdmissionReview struct {
    Request *AdmissionRequest `json:"request,omitempty"`
    Response *AdmissionResponse `json:"response,omitempty"`
}

type AdmissionRequest struct {
    UID string `json:"uid"`
    Kind metav1.GroupVersionKind `json:"kind"`
    Resource metav1.GroupVersionResource `json:"resource"`
    Object runtime.RawExtension `json:"object"`
}

登录后复制

解析建议：

降重鸟

要想效果好，就用降重鸟。AI改写智能降低AIGC率和重复率。

308

查看详情

使用标准库中的
```
json.Unmarshal
```
登录后复制
或
```
k8s.io/apimachinery
```
登录后复制
工具解析
提取
```
Object.Raw
```
登录后复制
字段后，再反序列化为具体的资源类型（如
```
Pod
```
登录后复制
）
注意处理不同版本资源（比如 v1.Pod vs apps/v1.Deployment）

编写 Mutating 和 Validating 逻辑

Mutating 示例：给所有 Pod 添加标签

func mutatePod(raw []byte) ([]byte, error) {
    var pod corev1.Pod
    if err := json.Unmarshal(raw, &pod); err != nil {
        return nil, err
    }

    if pod.Labels == nil {
        pod.Labels = make(map[string]string)
    }
    pod.Labels["managed-by"] = "my-admission-controller"

    return json.Marshal(pod)
}

登录后复制

然后构造 Patch，并封装成

AdmissionResponse

登录后复制

返回。

Validating 示例：拒绝没有资源限制的容器

遍历每个容器，检查

Resources.Limits

登录后复制

是否为空：

for _, container := range pod.Spec.Containers {
    if container.Resources.Limits.Cpu().IsZero() ||
       container.Resources.Limits.Memory().IsZero() {
        return false, "container missing resource limits"
    }
}

登录后复制

验证失败时，返回

AdmissionResponse{Allowed: false}

登录后复制

即可。

部署到集群：配置 ValidatingWebhookConfiguration

写好代码只是第一步，还需要在 Kubernetes 中注册这个 webhook。创建一个

ValidatingWebhookConfiguration

登录后复制

或

MutatingWebhookConfiguration

登录后复制

，示例片段如下：

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: my-validator
webhooks:
  - name: my-validator.example.com
    clientConfig:
      service:
        namespace: default
        name: my-admission-service
      caBundle: <base64 encoded CA cert>
    rules:
      - apiGroups: [""]
        apiVersions: ["v1"]
        resources: ["pods"]
        operationTypes: ["CREATE"]
    failurePolicy: Fail
    sideEffects: None
    timeoutSeconds: 5

登录后复制

注意点：