摘要:如果有一個準(zhǔn)入控制拒絕了此次請求���,那么整個請求的結(jié)果將會立即返回����,并提示用戶相應(yīng)的信息��。
這是啥
準(zhǔn)入控制admission controller本質(zhì)上一段代碼����,在對kubernetes api的請求過程中,順序?yàn)?先經(jīng)過 認(rèn)證 & 授權(quán)���,執(zhí)行準(zhǔn)入操作�,在對目標(biāo)對象進(jìn)行操作���。這個準(zhǔn)入代碼在apiserver中,而且必須被編譯到二進(jìn)制文件中才能被執(zhí)行�����。
在對集群進(jìn)行請求時,每個準(zhǔn)入控制代碼都按照一定順序執(zhí)行��。如果有一個準(zhǔn)入控制拒絕了此次請求�����,那么整個請求的結(jié)果將會立即返回����,并提示用戶相應(yīng)的error信息。
在某些情況下��,為了適用于應(yīng)用系統(tǒng)的配置�����,準(zhǔn)入邏輯可能會改變目標(biāo)對象���。此外����,準(zhǔn)入邏輯也會改變請求操作的一部分相關(guān)資源��。
為什么需要���?
在kubernetes中���,一些高級特性正常運(yùn)行的前提條件為���,將一些準(zhǔn)入模塊處于enable狀態(tài)?���?偨Y(jié)下,對于kubernetes apiserver�����,如果不適當(dāng)?shù)呐渲脺?zhǔn)入控制模塊��,他就不能稱作是一個完整的server��,某些功能也不會正常的生效���。
如何開啟一個準(zhǔn)入模塊
在kubernetes apiserver中有一個參數(shù):admission_control�����,他的值為一串用逗號連接的 有序的 準(zhǔn)入模塊列表���,設(shè)置后,就可在對象唄操作前執(zhí)行一定順序的準(zhǔn)入模塊調(diào)用�����。
每個準(zhǔn)入模塊都干了啥
AlwaysAdmit
對所有請求開綠燈���。
AlwaysDeny
對所有請求開紅燈�����,多用于測試環(huán)境�。
DenyExecOnPrivileged
它會攔截所有想在privileged container上執(zhí)行命令的請求�����。
如果自己的集群支持privileged container��,自己又希望限制用戶在這些privileged container上執(zhí)行命令���,那么強(qiáng)烈推薦使用它����。
ServiceAccount
這個plug-in將 serviceAccounts實(shí)現(xiàn)了自動化,如果想要使用ServiceAccount 對象��,那么強(qiáng)烈推薦使用它��。
關(guān)于serviceAccount的描述如下:
一個serviceAccount為運(yùn)行在pod內(nèi)的進(jìn)程添加了相應(yīng)的認(rèn)證信息�。當(dāng)準(zhǔn)入模塊中開啟了此插件(默認(rèn)開啟),那么當(dāng)pod創(chuàng)建或修改時他會做一下事情:
如果pod沒有serviceAccount屬性��,將這個pod的serviceAccount屬性設(shè)為“default”�;
確保pod使用de serviceAccount始終存在;
如果LimitSecretReferences 設(shè)置為true�,當(dāng)這個pod引用了Secret對象卻沒引用ServiceAccount對象,棄置這個pod�����;
如果這個pod沒有包含任何ImagePullSecrets��,則serviceAccount的ImagePullSecrets被添加給這個pod����;
如果MountServiceAccountToken為true,則將pod中的container添加一個VolumeMount ��。
SecurityContextDeny
這個插件將會將使用了 SecurityContext的pod中定義的選項(xiàng)全部失效。
關(guān)于 SecurityContext的描述:
SecurityContext 在container中定義了操作系統(tǒng)級別的安全設(shè)定(uid, gid, capabilities, SELinux等等)���。
ResourceQuota
它會觀察所有的請求�����,確保在namespace中ResourceQuota對象處列舉的container沒有任何異常。如果在kubernetes中使用了ResourceQuota對象�����,就必須使用這個插件來約束container���。
推薦在admission control參數(shù)列表中����,這個插件排最后一個��。
LimitRanger
他會觀察所有的請求��,確保沒有違反已經(jīng)定義好的約束條件��,這些條件定義在namespace中LimitRange對象中�。如果在kubernetes中使用LimitRange對象,則必須使用這個插件。
NamespaceExists
它會觀察所有的請求�����,如果請求嘗試創(chuàng)建一個不存在的namespace����,則這個請求被拒絕。
有推薦的插件順序嗎��?
有�!
--admission_control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/32437.html
