動的アドミッション Webhook の概要

 読了時間 2分     ページテスト

Kubernetes の変更および検証 Webhook メカニズムより

Istio は、Istio 設定の検証に `ValidatingAdmissionWebhooks` を使用し、ユーザー Pod へのサイドカープロキシの自動注入に `MutatingAdmissionWebhooks` を使用します。

Webhook のセットアップガイドでは、Kubernetes の動的アドミッション Webhook についての一般的な知識があることを前提としています。変更 Webhook 設定 および 検証 Webhook 設定 の詳細なドキュメントについては、Kubernetes API リファレンスを参照してください。

動的アドミッション Webhook の前提条件を確認する

Kubernetes プロバイダー固有のセットアップ手順については、プラットフォームセットアップ手順を参照してください。クラスタの設定が誤っている場合、Webhook は正しく機能しません。クラスタが設定され、動的 Webhook と依存機能が正しく機能しない場合は、以下の手順に従ってください。

  1. サポートされているバージョン (1.28、1.29、1.30、1.31) の `kubectl` と Kubernetes サーバーを使用していることを確認してください

    $ kubectl version --short
Client Version: v1.29.0
Server Version: v1.29.1

  2. `admissionregistration.k8s.io/v1` が有効になっている必要があります

    $ kubectl api-versions | grep admissionregistration.k8s.io/v1
admissionregistration.k8s.io/v1

  3. MutatingAdmissionWebhookValidatingAdmissionWebhook プラグインが kube-apiserver --enable-admission-plugins にリストされていることを確認してください。このフラグへのアクセスはプロバイダー固有です。

  4. Kubernetes api-server が webhook ポッドへのネットワーク接続を持っていることを確認してください。例えば、誤った http_proxy 設定は api-server の動作を妨げる可能性があります(詳細については、関連する issue こちらこちら を参照してください)。

この情報は役に立ちましたか?
改善のための提案はありますか?

フィードバックありがとうございます!