intel/intel-fpga-admissionwebhook

Intel FPGA Admission Controller Webhook for Kubernetes

镜像概述和主要用途

Intel FPGA Admission Controller Webhook 是 Intel 设备插件项目（Intel Device Plugins for Kubernetes）的组成部分，专为 Kubernetes 集群设计，用于对涉及 FPGA 资源的 Pod 进行准入控制。其核心用途是通过拦截 Kubernetes API Server 的 Pod 创建请求，实现对 FPGA 资源请求的验证、配置校验及动态调整，确保 FPGA 设备资源在 Kubernetes 集群中被安全、高效地使用。

更多信息请参考 Intel 设备插件项目 GitHub 仓库：https://github.com/intel/intel-device-plugins-for-kubernetes%E3%80%82

核心功能和特性

准入控制机制

• 验证（Validation）：检查 Pod 的 FPGA 资源请求是否符合集群中 FPGA 设备的实际配置（如资源名称、数量、设备类型），拒绝无效请求。
• 变异（Mutation）：动态调整 Pod 配置（如添加环境变量、挂载 FPGA 设备相关卷、调整资源限制），确保 Pod 与 FPGA 设备插件兼容。

FPGA 资源管理

• 与 Intel FPGA 设备插件深度集成，协同管理 FPGA 设备的分配与释放。
• 支持 FPGA 资源的细粒度控制，如按加速函数（AFU）、设备 ID 等维度进行资源隔离。

兼容性与集成

• 兼容 Kubernetes 1.16+ 版本，支持最新的准入 Webhook 规范。
• 无缝对接 Kubernetes API Server，支持动态配置更新（如通过 ConfigMap 调整策略）。

安全与可靠性

• 基于 TLS 加密与 Kubernetes API Server 通信，确保请求拦截过程的安全性。
• 内置健康检查与故障恢复机制，保障服务持续可用。

使用场景和适用范围

典型使用场景

• FPGA 加速应用部署：在 Kubernetes 集群中部署依赖 FPGA 加速的应用（如 AI 推理、视频编解码、边缘计算任务）时，确保 Pod 正确请求和使用 FPGA 资源。
• 资源合规性管控：防止 Pod 超额请求 FPGA 资源或使用未授权的 FPGA 设备，避免资源争抢或配置错误。
• 动态资源调整：根据集群 FPGA 设备状态（如可用设备数量、健康状态）动态调整 Pod 配置，优化资源利用率。

适用范围

• 运行 Kubernetes 1.16+ 的集群环境。
• 已部署 Intel FPGA 设备插件的节点（需确保节点上 FPGA 设备驱动及设备插件正常运行）。
• 需要对 FPGA 资源进行精细化管理的场景（如多租户集群、关键业务部署）。

使用方法和配置说明

部署前提

1. Kubernetes 集群已部署，版本 ≥ 1.16。
2. 集群节点已安装 Intel FPGA 设备驱动及设备插件（参考 https://github.com/intel/intel-device-plugins-for-kubernetes/tree/main/fpga%EF%BC%89%E3%80%82
3. 集群已启用准入控制器（Admission Controller），并支持 MutatingWebhookConfiguration 和 ValidatingWebhookConfiguration 资源。

部署步骤

1. 获取镜像

从容器镜像仓库拉取官方镜像（具体版本请参考 https://github.com/intel/intel-device-plugins-for-kubernetes/releases%EF%BC%89%EF%BC%9A

bash
docker pull intel/intel-fpga-admissionwebhook:latest

2. Kubernetes 部署示例

2.1 创建命名空间

yaml
apiVersion: v1
kind: Namespace
metadata:
  name: intel-fpga-webhook

2.2 部署 Webhook 服务（Deployment）

yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: intel-fpga-admissionwebhook
  namespace: intel-fpga-webhook
spec:
  replicas: 1
  selector:
    matchLabels:
      app: intel-fpga-admissionwebhook
  template:
    metadata:
      labels:
        app: intel-fpga-admissionwebhook
    spec:
      containers:
      - name: webhook
        image: intel/intel-fpga-admissionwebhook:latest
        args:
          - --tls-cert-file=/etc/webhook/certs/tls.crt
          - --tls-private-key-file=/etc/webhook/certs/tls.key
          - --log-level=info
          - --fpga-device-plugin-path=/var/lib/kubelet/device-plugins/intel-fpga.sock
        ports:
        - containerPort: 443
        volumeMounts:
        - name: webhook-certs
          mountPath: /etc/webhook/certs
          readOnly: true
      volumes:
      - name: webhook-certs
        secret:
          secretName: intel-fpga-webhook-certs  # 包含 TLS 证书和密钥的 Secret

2.3 创建服务（Service）

yaml
apiVersion: v1
kind: Service
metadata:
  name: intel-fpga-admissionwebhook
  namespace: intel-fpga-webhook
spec:
  selector:
    app: intel-fpga-admissionwebhook
  ports:
  - port: 443
    targetPort: 443

2.4 配置准入 Webhook（ValidatingWebhookConfiguration/MutatingWebhookConfiguration）

yaml
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: intel-fpga-validation-webhook
webhooks:
- name: fpga-validation.webhook.intel.com
  rules:
  - apiGroups: [""]
    apiVersions: ["v1"]
    operations: ["CREATE", "UPDATE"]
    resources: ["pods"]
    scope: "Namespaced"
  clientConfig:
    service:
      name: intel-fpga-admissionwebhook
      namespace: intel-fpga-webhook
      path: "/validate"
    caBundle: <CA_CERTIFICATE_BUNDLE>  # Kubernetes API Server 信任的 CA 证书
  admissionReviewVersions: ["v1"]
  sideEffects: None
  timeoutSeconds: 5

配置参数说明

Webhook 服务支持通过命令行参数配置，常用参数如下：

环境变量说明

容器支持通过环境变量调整运行时行为：

参考链接

• https://github.com/intel/intel-device-plugins-for-kubernetes
• Kubernetes 准入控制器文档
• https://github.com/intel/intel-device-plugins-for-kubernetes/blob/main/fpga/README.md