正文

MutatingAdmissionWebhook是一款系統內置且默認啟用的準入控制器插件，它在kube-apiserver審查請求（Mutating admission）階段被調用，用于審查請求。

與其他準備控制器插件不同的是，MutatingAdmissionWebhook本身并不直接審查請求，而是將任務轉發給相應的webhook（多個webhook串行調用），如果任何一個webhook返回失敗，MutatingAdmissionWebhook將會立即拒絕請求。MutatingAdmissionWebhook 與webhook的關系如下圖所示：

webhook通常是一個專門負責審查資源對象的web服務，webhook根據是否會修改請求分為Mutating（修改型）和Validating（校驗型）兩類。MutatingAdmissionWebhook負責管理并調用Mutating類型的webhook，該類型webhook通過MutatingWebhookConfiguration對象注冊到系統中，MutatingWebhookConfiguration對象中描述了webhook的服務地址、關心的資源對象類型等信息。MutatingAdmissionWebhook正是根據MutatingWebhookConfiguration對象來獲取webhook列表，并在API 請求來到時篩選并調用webhook。關于MutatingWebhookConfiguration對象的更多信息將在后續章節展開介紹。

MutatingAdmissionWebhook是Kubernetes一個重要擴展機制，常用于對擴展的CRD(CustomResourceDefination)對象進行審查和改寫，當然它也可以用于Kubernetes原生資源對象，比如當Pod創建時自動添加label。