quay.io/prometheus-operator/admission-webhook:v0.77.2

quay.io/prometheus-operator/admission-webhook 是 Prometheus Operator 生态中的一个准入控制组件，主要用于在 Kubernetes 集群中对 Prometheus 相关资源的创建、更新操作进行拦截和处理。作为 Prometheus Operator 的辅助工具，它通过 Kubernetes 准入控制机制，确保集群中与 Prometheus 监控相关的自定义资源（如 Prometheus、ServiceMonitor、Alertmanager 等 CRD）配置合法、合理，进而提升监控系统的稳定性。

核心功能

该组件的核心作用有两方面：一是配置验证，二是自动修正。
在验证层面，它会检查资源配置是否符合 Prometheus Operator 的规范——比如 ServiceMonitor 的标签选择器是否能匹配到目标服务、Prometheus 实例的存储容量是否满足最小要求、Alertmanager 的副本数是否符合高可用配置等。若发现字段缺失、参数冲突或值超出合理范围（如资源请求设置为 0），会直接拦截请求并返回具体错误，避免无效配置进入集群。
在修正层面，对于部分非致命的配置问题（如未指定默认的 retention 策略、缺少必要的监控标签），它能自动补充或调整参数——例如为未设置 storage.retention 的 Prometheus 实例添加默认的 15 天保留期，或给 ServiceMonitor 自动附加集群通用的监控标签，减少人工配置遗漏。

部署与集成

该组件以容器镜像形式分发，部署时需作为独立 Pod 运行在 Kubernetes 集群中（通常与 Prometheus Operator 部署在同一命名空间）。使用前需通过 Kubernetes 的 MutatingWebhookConfiguration 或 ValidatingWebhookConfiguration 资源，将其注册到 API Server 的准入链中，并配置 TLS 证书以确保通信安全（因 Kubernetes 准入控制要求 webhook 必须使用 HTTPS）。用户可通过自定义规则（如指定作用的命名空间、资源类型）灵活控制它的拦截范围，例如仅对生产环境的 Prometheus 实例启用严格校验。

实际价值

在大规模 Kubernetes 集群中，Prometheus 相关资源的配置往往由多个团队或自动化工具管理，人工配置错误（如 ServiceMonitor 标签写错导致监控目标丢失）或参数不合理（如 Prometheus 内存请求设置过低引发 OOM）可能导致监控中断。该组件通过前置拦截和自动修正，能大幅减少这类问题，降低运维团队排查故障的成本。同时，它支持与 Prometheus Operator 的版本同步更新，适配新的 CRD 字段和功能，是保障 Prometheus 监控系统稳定运行的实用工具。