是否可以始终将配置映射挂载到Kubernetes中的所有吊舱中？

Question

我正试图遵循类似于Istio注入模型的方法，其中Istio能够运行一个变异的准入网络钩子，以便自动注入它们的侧翼。

我们希望做一些类似的事情，但是使用一些配置映射。我们需要将配置映射挂载到给定名称空间中的所有新豆荚，总是安装在相同的路径上。是否有可能创建一个变异的准入网络钩子，这将允许我挂载这个配置地图在已知的路径，同时接纳新的豆荚？

改变webhooks的文档：https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/

Answer 1

这应该是完全可能的，事实上，这是一个定制的变异接纳网络钩子的对齐用例。不幸的是，关于实际实现它们的正式文档有点稀少。

这是最有用的参考资料。是我在这个变异的接纳网钩上工作时发现的。

一般程序如下：

1. 生成和部署证书如图所示
2. 将MutatingWebhookConfiguration部署到集群中。这个配置允许我们告诉API服务器在哪里发送AdmissionReview对象。这也是您应该指定哪些操作、哪些API资源、哪些命名空间要瞄准的地方。
3. 编写实际的web钩子服务器，它应该在指定的端点上接受AdmissionReview对象(/mutate是惯例)，并返回AdmissionResponse对象和变异对象如图所示 (注意:在链接的示例中，我向传入的豆荚添加了一个符合特定条件的注释，而应用程序将为ConfigMap添加一个字段)。
4. 部署web钩子服务器并使用常规方法(Deployment和Service，或任何适合您的用例的方法)公开它。确保在MutatingWebhookConfiguration的配置中指定的位置可以访问它

希望这是足够的信息！如果我留下的东西太模糊/不清楚，请告诉我。