Kubernetes实战(八)-防止k8s namespace被误删除

最新推荐文章于 2025-05-16 12:00:00 发布
最新推荐文章于 2025-05-16 12:00:00 发布
阅读量1.8k 收藏 15
点赞数 19
CC 4.0 BY-SA版权
分类专栏: # Kubernetes系列 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ygq13572549874/article/details/134844142
文章讲述了运维新手误删除预发环境Pod后的经验教训,提出使用MutatingWebhook保护Kubernetes资源,特别是通过OpenKruise实现的资源删除保护机制,包括在线和离线部署OpenKruise、保护资源类型、启用保护策略及其实现的局限性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 背景

运维新同学在预发环境操作删除pod的时候,不知道什么原因把kubectl delete pod命令敲成了kubectl delete ns pre把预发环境删了,几十个模块,将近一个小时才恢复。幸亏是测试环境啊,如果是生产可以可以跑路了。

2 解决方案

通过kubectl操作k8s资源把数据发给apiserver,在apiserver把数据持久化到etcd之前我们可以通过MutatingWebhook修改、拦截相关资源的变更。

所以我们可以通过实现MutatingWebhook机制,控制高危的操作。

方案一:自己实现MutatingWebhook保护k8s资源不被删除,这个具体实现大家参考作者之前写的文章实现。

方案二:阿里开源的OpenKruise已经帮我们实现相关资源的删除保护。他的实现原理也是基于webhook实现。

下面我们重点实践基于OpenKruise资源删除保护。

2.1 OpenKruise 删除保护实践

2.1.1 OpenKruise架构

  • API:所有 OpenKruise 的功能都是通过 Kubernetes API 来提供

  • Manager:Kruise-manager 是一个运行 controller 和 webhook 中心组件,它通过 Deployment 部署在 kruise-system 命名空间中。资源保护主要是kruise-controller-manager的实现的webhook功能。

  • Daemon:DaemonSet 部署到每个 Node 节点上,提供镜像预热、容器重启等功能。

2.1.2 k8s集群在线部署OpenKruise

建议采用 helm v3.5+ 来安装 Kruise,,helm 是一个简单的命令行工具可以从 这里 获取。

# Firstly add openkruise charts repository if you haven't do this.
$ helm repo add openkruise https://openkruise.github.io/charts/

# [Optional]
$ helm repo update

# Install the latest version.
$ helm install kruise openkruise/kruise --version 1.5.0

通过上述办法可以在线部署OpenKruise

大部分同学的线上环境是没有外网的,下面我们看看离线部署方式。

2.1.3 k8s集群离线部署OpenKruise

下载最新稳定版OpenKruise,作者没有大家helm仓库,这里使用gitlab管理kruise

# Firstly add openkruise charts repository if you haven't do this.
$ helm repo add openkruise https://openkruise.github.io/charts/

# [Optional]
$ helm repo update

# download the latest version.
$ helm pull openkruise/kruise --version 1.5.0

在当前目录下有kruise-1.5.0.tgz解压缩,并修改镜像地址为你仓库地址

tar kruise-1.5.0.tgz
cd kruise

vim values.yaml
image:
    repository: yourharbor.domain.com/openkruise/kruise-manager
    tag: v1.5.0

注意:作者这里kruise 上传到gitlab管理,如果你有helm仓库可以放到自己的helm仓库。

下载镜像,并上传自己的harbor仓库

docker pull openkruise/kruise-manager:v1.5.0

docker tag openkruise/kruise-manager:v1.5.0 yourharbor.domain.com/openkruise/kruise-manager:v1.5.0 

docker push yourharbor.domain.com/openkruise/kruise-manager:v1.5.0 

在master节点上部署OpenKruise

git clone yourgit.domain.com/kruise.git

helm install kruise kruise/

至此,离线版安装OpenKruise就完成了。

部署完后,效果如下有kruise-controller-managerkruise-daemon

kubectl  get pod -n kruise-system
NAME                                         READY   STATUS    RESTARTS   AGE
kruise-controller-manager-6d7bfd75wf-4s6jk   1/1     Running   0          4h23m
kruise-controller-manager-6d7bfd75wf-dstl5   1/1     Running   0          6h21m
kruise-daemon-tnfd8                          1/1     Running   0          6h21m

2.2 保护的资源类型

2.2.1 保护的资源都有哪些?

目前支持的资源如下:

KindGroupVersionCascading judgement
Namespacecorev1namespace
CustomResourceDefinitionapiextensions.k8s.iov1beta1, v1CRD下是否还有存量的 CR
Deploymentappsv1replicas 是否为 0
StatefulSetappsv1replicas 是否为 0
ReplicaSetappsv1replicas 是否为 0
CloneSetapps.kruise.iov1alpha1replicas 是否为 0
StatefulSetapps.kruise.iov1alpha1, v1beta1replicas 是否为 0
UnitedDeploymentapps.kruise.iov1alpha1replicas 是否为 0

2.2.2 怎么开启资源保护?

在以上资源上加上标签policy.kruise.io/delete-protection=Always 或 policy.kruise.io/delete-protection=Cascading,即实现了对相应资源的的保护.

Always: 这个对象禁止被删除,除非上述 label 被去掉
Cascading: 这个对象如果还有可用的下属资源,则禁止被删除

2.2.3 案例实战

2.2.3.1 Always(对象禁止被删除)

test namespace 打上label policy.kruise.io/delete-protection=Cascading后,不管test namespace下是否有资源都不允许删除test,除非把标签去掉。

kubectl  label ns nohost policy.kruise.io/delete-protection=Always
kubectl  delete ns test

Error from server: admission webhook "vnamespace.kb.io" denied the req

2.2.4 Cascading(当删除对象还有其他资源是不让删)

test namespace下还有一个pod,所以当设置label是policy.kruise.io/delete-protection=Cascading,删除test 不允许删除,这样就对test namespace 起到保护的作用。

kubect label ns test policy.kruise.io/delete-protection=Cascading --overwrite
kubectl  delete ns test

Error from server: admission webhook "vnamespace.kb.io" denied the request: forbidden by ResourcesProtectionDeletion for policy.kruise.io/delete-protection=Cascading and active pods 1>0

如果把test namespace 下的所有pod都删掉,test 可以被delete掉。

2.3 OpenKruise 资源保护缺点

支持的资源有限,通过 webhook configuration 的 objectSelector 字段, Kruise webhook 只会拦截处理带有 policy.kruise.io/delete-protection 标签的 Namespace/CustomResourceDefinition/Deployment/StatefulSet/ReplicaSet 资源。

云原生kubernetes中的service原理、应用实战案例解析
景天科技苑
05-24 1万+
kubernetes中,Pod是有生命周期的,如果Pod重启它的IP很有可能会发生变化。 如果我们的服务都是将Pod的IP地址写死,Pod挂掉或者重启,和刚才重启的pod相关联的其他服务将会找不到它所关联的Pod, 为了解决这个问题,在kubernetes中定义了service资源对象,Service 定义了一个服务访问的入口,客户端通过这个入口即可访问服务背后的应用集群实例, service是一组Pod的逻辑集合,这一组Pod能够被Service访问到,通常是通过Label Selector实现的。
k8s搭建(超详细,保姆级教程)
热门推荐
qq_44150902的博客
06-23 2万+
这里就不赘述,想要了解的朋友直接去这里深入了解什么是K8S。我准备了2台机器172.168.200.130(master)、172.168.200.131(node1),也测试了2台是内网互通。 所有机器都必须安装docker环境。 选择19.3.9版本安装 4.2、安装Kubernetes 所有机器配置自己的hostname(不能是localhost)172.168.200.130机器我配置为master,172.168.200.131为node1。 所有机器必须关闭swap分区,不为0则说明没有关闭;
k8s-namespace-guard:K8s-用于保护名称空间的准入控制器
05-18
k8s-namespace-guard k8s-namespace-guard提供了一种准入控制策略,可防止意外删除集群名称空间。 执行 这是作为实施的,其中k8s-namespace-guard服务作为部署在每个集群上运行。 Webhook配置为将对namespace资源上的DELETE操作的许可审查请求发送到k8s-namespace-guard服务。 k8s-namespace-guard服务在HTTPS端口上侦听并在接收到此类请求时,列出了在该命名空间下定义的工作负载资源。 仅当名称空间不包含此类工作负载资源时,才允许继续执行DELETE操作。 当前检查以下资源是否存在: 豆荚 服务 复制集 部署 状态集 守护进程 入口 卧式自动定标器 k8s-namespace-guard策略实现要求在删除命名空间之前,请删除上面列出的资源。 基本开发设置 将Git克隆到您的本地目录。
开发一个禁止删除namespace的控制器
wanger5354的博客
07-01 451
大家好,我是乔克。image.png昨天收到一个朋友的信息,说不小心把集群的业务namespace干掉了,导致整个业务都停滞了,问我有没有禁止删除namespace的方案。在我的记忆里,Kubernetes的准入里并没有这个控制器,所以我就给他说需要自己开发一个准入控制器来实现自己的目标。我不能只脱裤子,不放屁。所以这里也整理了一下如何自定义Kubernetes的准入控制器。准入控制器(Admission Controller)位于 API Server 中,在对象被持久化之前,准入控制器拦截对 API S
OpenKruise原地升级及全链路灰度发布方案
最新发布
2402_88627342的博客
05-16 1632
-set daemon.socketFile=cri-dockerd.sock:设置 daemon.socketFile 参数,指定 CRI 套接字的文件名。--set daemon.socketLocation=/var/run:设置 daemon.socketLocation 参数,指定 CRI 套接字的位置。但对于大规模应用与集群的场景,这些基础功能是远远不够的。它是由阿里巴巴集团的阿里云团队维护和开发的,并且在2018年将其贡献给了云原生计算基金会(CNCF),成为了CNCF的孵化项目。
K8S强制删除处于Terminating状态命名空间
weixin_45965192的博客
06-13 1927
每当删除 namespace 或 pod 等一些 Kubernetes 资源时,有时资源状态会卡在 Terminating,很长时间无法删除,甚至有时增加 --force grace-period=0 之后还是无法正常删除。这时就需要 edit 该资源,或者将该资源导出为 json(通过调用原生接口进行删除), 将 finalizers 字段设置为 [],之后 Kubernetes 资源就正常删除了。 logging这个 namespace 一直处于状态,一般情况下强删是删不掉的,强删的方法如下:# k
一次k8s命名空间删除导致的故障处理
weixin_56364253的博客
07-31 1422
该文记录了最近遇到的一次由于人为误删除k8s 命名空间导致的服务故障的处理过程和心得体会。通过该文来给运维同行提个醒,避免出现类似的失误。
k8s】使用Finalizers控制k8s资源删除
m0_45406092的博客
12-12 2137
你有没有在使用k8s过程中遇到过这种情况: 通过kubectl delete指令删除一些资源时,一直处于Terminating状态。这是为什么呢?本文将介绍当你执行kubectl delete语句时,K8s内部都执行了哪些操作。以及为何有些资源’删除不掉’(具体表现为一直Terminating,删除namespace时很容易遇到这种情况)接下来,我们聚焦讨论以下四个方面:资源的哪些属性会对删除操作产生影响?方便起见,以下所有示例都将使用ConfigMaps和基本shell命令来演示该过程。
企业入门实战--k8s之存储之configMap配置管理、Secret配置管理和Volumes配置管理
鱼子酱
07-30 551
企业入门实战--k8s之存储之configMap配置管理、Secret配置管理和Volumes配置管理一、configMap配置管理创建configmap使用configmap 一、configMap配置管理 Configmap用于保存配置数据,以键值对形式存储。 configMap资源提供了向Pod 注入配置数据的方法。旨在让镜像和配置文件解耦,以便实现镜像的可移植性和可复用性。 典型的使用场景:·填充环境变量的值 ·设置容器内的命令行参数 ·填充卷的配置文件 创建configmap 使用字面值指定创建
K8S之脚本管理(Script Management for k8s
Linux运维老纪的博客
02-19 1233
智能管理K8S脚本作为一款方便、高效的K8S管理工具,通过对kubectl输出的美化、操作流程的简化以及智能分析功能的引入,大大提升了K8S集群的管理效率和稳定性。在实际使用中,只要注意脚本的版本兼容性、安全操作和数据隐私保护等问题,就能够充分发挥脚本的优势,为企业的K8S管理工作带来极大的便利。
记一次Kubernetes集群Velero备份与恢复实战过程
cnzzs的博客
01-07 1411
一、前言一说起kuberenetsb集群备份,我们首先会想到etcd数据备份,因为我们kubernetes数据都是以键值的形式存储在etcd中,上一边文章也讲解了关于etcd快照备份也恢复,但是etcd备份是全局的,无法针对于集群对象级别的备份,这一期,我们了解kubernetes备份的"新宠"-Velero二、概念讲解1...
k8s删除某个名称空间后namespace一直处于Terminating状态
csdn_chenhao的博客
05-09 655
k8s删除某个名称空间后namespace一直处于Terminating状态 这里以删除kuboard名称空间为例 背景:当使用kubectl delete -y kuboard.yaml后,该名称空间处于Terminating状态 解决办法:
k8s删除控制与删除拦截机制
weixin_43832230的博客
09-05 900
k8s相关
通过备份 Etcd 来完美恢复 Kubernetes 中的误删数据
Johnny_Li的博客
07-22 912
误删除或者服务器宕机,会导致 Etcd 数据的丢失或某个节点的 Etcd 数据异常时,当误删时,需要恢复数据,这个在实际环境当中是不可避免的。以下描述删除两个 namespace 下的 Pod,如何恢复对应 namespace 的数据。 1、操作环境 3 个(master、etcd)+1 个 node 新建 1 个 namespace 下且创建 Pod 和 default namespace ...
Kubernetes 开发【1】——webhook 实现 API Server 请求拦截和修改
kingu_crimson的博客
08-04 1801
admission controller是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器编译进可执行文件,并且只能由集群管理员配置。使用准入控制器 | Kubernetes我们也可以通过自己编写一段代码二次开发来实现更为高级更为复杂的需求,官方有具体的实例,该实例的用途是即仅允许pod从指定的镜像仓库拉取image,否则apiserver将会拒绝本次请求。............
Kubernetes开发(4)-webhook 实现拦截请求
zyxpaomian的博客
06-01 2083
什么是webhook Kubernetes 通过rbac进行权限控制,实现了哪些account对哪些资源具有哪些权限的控制,但它并不是万能的, 因为rbac控制的操作权限类型是有限的,需要再进行一些细化的权限管控就无从下手了,比如需要限制一些controller只能从制定的harbor进行image的下载,比如需要限制一些controller只能使用指定范围的端口号等,所幸Kubernetes在各个方面都可以进行一些自定义的开发,而webhook就是用来实现类似需求的。 webhook官网介绍 先看下官网的
建议收藏:OpenKruise入门与实践
weixin_43805705的博客
06-26 812
OpenKruise 是一个基于 Kubernetes 的扩展套件,主要聚焦于云原生应用的自动化,比如部署、发布、运维以及可用性防护。
OpenKruise原理介绍和安装
因上努力,果上随缘。但行好事,莫问前程。
09-06 1103
OpenKruise 是一个基于 Kubernetes 的扩展套件,主要聚焦于云原生应用的自动化,比如部署、发布、运维以及可用性防护。OpenKruise 提供的绝大部分能力都是基于 CRD 扩展来定义,它们不存在于任何外部依赖,可以运行在任意纯净的 Kubernetes 集群中。
Hadoop,Hbase伪集群安装步骤
Linux,Java,SpringBoot,Python,Lua略知一点
09-09 333
Hbase和Hadoop和jdk版本一定要对应,不然很容易出错 Hbase和jdk版本对应关系 Java Version HBase 1.3+ HBase 2.1+ HBase 2.3+ JDK7 支持 不支持 不支持 JDK8 支持 支持 支持 JDK11 不支持 不支持 没有测试 Hbase和Hadoop版本对应关系 HBase-1.3.x HBase-1.4.x HBase-1.5.x HBase-2.1.x HBase-2.2.x HBase-2.3.x
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

alden_ygq

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值