weaveworks/mock-authz-server

Kubernetes Mock Authz Webhook 镜像文档

1. 镜像概述和主要用途

本镜像提供一个模拟Kubernetes授权（Authorization）决策的webhook服务，遵循Kubernetes授权webhook标准协议。主要用于Kubernetes集群的开发、测试环境，帮助用户在不依赖真实授权系统（如RBAC、OPA）的情况下，验证授权策略逻辑、准入控制流程及相关组件（如kube-apiserver、准入控制器）的集成效果，降低直接使用生产授权系统带来的测试风险。

2. 核心功能和特性

• 模拟授权决策：支持自定义返回"允许"（allow）或"拒绝"（deny）决策，可通过配置覆盖默认行为
• 标准协议兼容：完全遵循Kubernetes授权webhook协议规范，确保与Kubernetes API Server无缝集成
• 灵活响应配置：支持通过环境变量或配置文件定义授权规则，基于用户、资源、动词等属性匹配决策
• 轻量级部署：容器化设计，资源占用低，适合在开发、测试环境快速部署和调整
• 详细日志记录：记录接收到的授权请求及决策结果，便于调试授权流程和问题排查

3. 使用场景和适用范围

• 授权策略测试：验证自定义RBAC角色、ClusterRole绑定等策略在不同请求场景下的行为
• 准入控制器集成测试：测试依赖授权结果的准入控制器（如ValidatingAdmissionWebhook）逻辑
• 开发环境模拟：在本地或Minikube等测试集群中模拟生产授权流程，确保应用兼容性
• CI/CD流程集成：在自动化测试管道中验证部署配置的授权合规性
• webhook协议调试：帮助开发人员理解Kubernetes授权webhook的请求/响应交互机制

4. 使用方法和配置说明

4.1 基本部署（Docker Run）

bash
docker run -d \
  --name k8s-mock-authz-webhook \
  -p 8080:8080 \
  -e MOCK_AUTHZ_DEFAULT_DECISION=allow \
  -e MOCK_AUTHZ_LOG_LEVEL=info \
  [镜像名称]:[标签]

4.2 Docker Compose配置

yaml
version: '3'
services:
  mock-authz:
    image: [镜像名称]:[标签]
    container_name: k8s-mock-authz
    ports:
      - "8080:8080"
    environment:
      - MOCK_AUTHZ_DEFAULT_DECISION=deny
      - MOCK_AUTHZ_LISTEN_PORT=8080
      - MOCK_AUTHZ_LOG_LEVEL=debug
      - MOCK_AUTHZ_RESPONSE_DELAY=200
    volumes:
      - ./rules.yaml:/config/rules.yaml
    restart: unless-stopped

4.3 环境变量配置

4.4 自定义授权规则示例

通过MOCK_AUTHZ_CUSTOM_RULES_PATH指定规则文件，按请求属性匹配决策：

yaml
# rules.yaml示例
rules:
  - name: "allow-admin-user"
    match:
      user: "admin"
      groups: ["system:masters"]
    decision: "allow"
  - name: "deny-guest-edit"
    match:
      user: "guest"
      verb: "edit"
      resource: "pods"
    decision: "deny"

4.5 Kubernetes集成步骤

1. 部署服务：通过Deployment+Service在集群内暴露服务
2. 配置webhook：创建ValidatingWebhookConfiguration指向服务URL
3. 启用授权模式：配置kube-apiserver添加Webhook授权模式

5. 注意事项

• 环境限制：仅用于开发测试环境，禁止在生产环境部署
• 规则局限性：复杂匹配场景建议结合真实授权系统验证
• 安全提示：测试时避免使用真实敏感数据或权限配置