动态准入 Webhook 概述

    准入 Webhook 是 HTTP 方式的回调,接收准入请求并对其进行相关操作。可定义两种类型的准入 Webhook,Validating 准入 Webhook 和 Mutating 准入 Webhook。使用 Validating Webhook,可以通过自定义的准入策略来拒绝请求;使用 Mutating Webhook,可以通过自定义默认值来修改请求。

    Istio 使用 验证 Istio 配置,使用 MutatingAdmissionWebhooks 自动将 Sidecar 代理注入至用户 Pod。

    请参阅平台设置说明了解 Kubernetes 提供的详细的设置说明。如果集群配置错误,Webhook 将无法正常工作。集群配置后,当动态 Webhook 和相关特性不能正常工作时,您可以通过以下步骤进行检查。

    1. 验证当前使用正确的 和 Kubernetes 服务 支持的版本(1.21, 1.22, 1.23, 1.24):

    2. 验证 配置中插件 MutatingAdmissionWebhookValidatingAdmissionWebhook 是否被启用。通过检查中的标志()。

    3. 验证 Kubernetes API Server 与 Webhook 所在 Pod 的网络连通是否正常。例如错误配置 http_proxy 可能干扰 API Server 正常运行(详细信息请参阅 PR 和 )。