mutatingwebhookconfiguration 不生效最常见的原因是证书配置错误或 cabundle 未更新,导致 api server 无法验证 webhook tls 证书而跳过调用;需确保 cabundle 与 ca 证书 base64 内容一致、服务端证书由该 ca 签发且 servername 匹配 service dns 名、端口配置正确。
为什么 MutatingWebhookConfiguration 不生效?
最常见的原因是证书配置错误或 caBundle 没更新——K8s API Server 无法验证 webhook 服务端 TLS 证书,直接跳过调用。不是 webhook 代码没跑,是根本没发请求过去。
- 检查
kubectl get mutatingwebhookconfiguration <your-name> -o yaml</your-name>,确认caBundle字段非空且与你签发的 CA 证书 base64 内容一致 - CA 证书必须是 PEM 格式、无换行、无注释的纯 base64(可用
cat ca.crt | base64 -w 0验证) - Webhook 服务端必须用该 CA 签发的证书启动 HTTPS,且
serverName匹配 Service DNS 名(如my-webhook.my-namespace.svc) - Service 的
port和targetPort要对得上,且 Pod 端口确实监听了 HTTPS(不是 HTTP)
如何让 Webhook 只处理特定命名空间和资源?
靠 MutatingWebhookConfiguration 中的 rules + namespaceSelector 组合控制,但注意:二者是“且”关系,不是“或”。漏掉任一条件都会导致不触发。
-
rules决定资源类型:apiGroups(如[""]表示 core v1)、apiVersions(如["v1"])、resources(如["pods"])必须全部匹配 -
namespaceSelector是 label selector,不是 name 列表;想限定某几个命名空间,得提前给它们打 label,比如kubectl label ns default webhook-inject=enabled,然后写matchLabels: {webhook-inject: "enabled"} - 如果想排除
kube-system等系统命名空间,用matchExpressions+notIn更稳妥
Go 里怎么安全地修改 Pod spec 并避免循环注入?
核心是识别自己是否已经注入过——不能靠 annotation 是否存在来判断,因为用户可能手动删掉;推荐在注入时写入一个带哈希值的 annotation,后续校验该哈希是否匹配当前注入逻辑版本。
- 修改前先检查
pod.Annotations["mycompany.io/injected"]是否已存在且值为当前版本哈希(如sha256("v1.2.0+sidecar-v2")) - 不要直接改
pod.Spec.Containers底层数组,用深拷贝或新建 slice 后追加,避免意外共享引用影响其他 handler - 注入 InitContainer 时,注意它默认不继承 Pod 的
envFrom或volumes,要显式复制需要的字段 - 返回的
Patch必须是 JSON Patch(RFC 6902),不是原始对象;用json.Marshal+jsonpatch.CreateMergePatch构造比手拼更可靠
本地调试 Webhook 为什么总报 x509 unknown authority?
因为 localhost 或 127.0.0.1 不在证书 SAN 中,而 K8s API Server 强制校验 serverName。本地开发没法绕过这个校验,只能模拟真实环境链路。
立即学习“go语言免费学习笔记(深入)”;
- 别用
go run main.go直连 localhost;改用ngrok http 8443或cloudflared tunnel暴露本地服务,生成带对应域名的证书 - 或者用
kind搭本地集群,配合hostPath挂载自签名证书,并在MutatingWebhookConfiguration中填入该证书的 base64 - 临时测试可关掉 API Server 的 webhook TLS 验证(仅限单机开发环境):启动
kind时加参数--config kind-config.yaml,里面设extraArgs: {"feature-gates": "ValidatingAdmissionWebhook=false,MutatingAdmissionWebhook=false"}——但这会禁用所有 webhook,只是辅助定位问题
