理清 Kubernetes 中的准入控制(Admission Controller)

最新推荐文章于 2024-04-13 21:02:02 发布
最新推荐文章于 2024-04-13 21:02:02 发布
阅读量622 收藏 1
点赞数
文章标签: java python kubernetes spring 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tao12345666333/article/details/121646442
版权

大家好,我是张晋涛。

在我之前发布的文章 《云原生时代下的容器镜像安全》(系列)中,我提到过 Kubernetes 集群的核心组件 --  kube-apiserver,它允许来自终端用户或集群的各组件与之进行通信(例如,查询、创建、修改或删除 Kubernetes 资源)。

本篇我们将聚焦于 kube-apiserver 请求处理过程中一个很重要的部分 -- 准入控制器(Admission Controller)

K8s 的准入控制器是什么

K8s 中的请求处理流程

在聊 K8s 准入控制器是什么之前,让我们先来回顾一下 Kubernetes API 的处理具体请求的过程。

b36103911ab63e5c63999b220997e822.png
img

图 1 ,Kubernetes API 处理请求的过程 (从 API Handler 到 etcd 持久化的过程)

如上图所示,每个 API 的请求从开始被 kube-apiserver 接收到最终持久化到 ETCD 的过程,即为 Kubernetes API 的请求处理流程。

它主要包含了以下几个部分:

  • API Handler -- 主要负责提供服务,接收请求。

对于其内部实现而言,请求会先到 FullHandlerChain (它是由 DefaultBuildHandlerChain 构建出来的)是一个 director 对象

type director struct {
 name               string
 goRestfulContainer *restful.Container
 nonGoRestfulMux    *mux.PathRecorderMux
}

director根据配置进行初始化,如果 goRestfulContainer的 WebServices 的 RootPath 是 /apis,或者请求前缀与 RootPath 匹配,则进入 Restful 处理链路。

  • Authentication -- 认证的流程。

在TLS 连接建立后,会进行认证处理,如果请求认证失败,会拒绝该请求并返回 401 错误码;如果认证成功,将进行到鉴权的部分。目前支持的客户端认证方式有很多,例如:x509 客户端证书、Bearer Token、基于用户名密码的认证、OpenID 认证等。由于这些内容不是本篇的重点我们暂且跳过,感兴趣的小伙伴可以在评论区留言讨论。

  • Authorization -- 鉴权的流程。

对于 Kubernetes 而言,支持多种的鉴权模式,例如,ABAC 模式,RBAC 模式和 Webhook 模式等。我们在创建集群时,可以直接为 kube-apiserver 传递参数进行配置,这里也不赘述了。

  • Mutating Admission -- 指执行可用于变更操作的准入控制器,下文中会详细介绍。

  • Object Schema Validation -- 对资源对象的 schema 校验。

  • Validating Admission -- 指执行可用于验证操作的准入控制器,下文中会详细介绍。

  • ETCD -- ETCD 实现资源的持久化存储。

上面便是一个请求的处理流程,其中 Mutating Admission 和 Validating Admission 便是我们今天的主角。我们来详细的看一看。

什么是准入控制器(Admission Controller)

准入控制器是指在请求通过认证和授权之后,可用于对其进行变更操作或验证操作的一些代码或功能。

准入控制的过程分为两个阶段:

  • 第一阶段,运行变更准入控制器(Mutating Admission)。它可以修改被它接受的对象,这就引出了它的另一个作用,将相关资源作为请求处理的一部分进行变更;

  • 第二阶段,运行验证准入控制器(Val

最低0.47元/天 解锁文章
张晋涛-MoeLove
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
kubernetes安全机制--Admission Control准入控制
江晓龙的博客
04-20 707
kubernetes安全机制–Admission Control准入控制 通过了认证和授权之后,还需要经过准入控制处理之后,apiserver才会处理请求。 准入控制是一个可配置的控制器列表,可以通过在apiserver上使用命令行设置执行哪些准入控制器 用于拦截请求的一种方式,运行在认证,授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验 --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,Persiste
chimera-admission:使用WebAssembly策略验证传入请求的Kubernetes动态准入控制
05-07
我们还计划创建一个Kubernetes控制器来简化Chimera Policy的管理。 进行嵌合体入场 您可以从源代码构建chimera-admission (请参阅文件底部的专用部分),也可以使用我们在维护的容器映像。 该存储库内部的目录...
kubernetesAdmission Controllers
weixin_33752045的博客
06-19 172
这是啥 准入控制admission controller本质上一段代码,在对kubernetes api的请求过程,顺序为 先经过 认证 & 授权,执行准入操作,在对目标对象进行操作。这个准入代码在apiserver,而且必须被编译到二进制文件才能被执行。 在对集群进行请求时,每个准入控制代码都按照一定顺序执行。如果有一...
Kubernetes认证和准入控制
最新发布
qq42004的博客
04-13 729
让一个用户(Users)扮演一个角色(Role),角色拥有权限,从而让用户拥有这样的权限,随后在授权机制当,只需要将权限授予某个角色,此时用户将获取对应角色的权限,从而实现角色的访问控制。当采用RBAC的方式进行授权时,把对对象(k8s的资源一类)的操作权限定义到一个角色当,再将用户绑定到该角色,从而使用户得到对应角色的权限。如果是通过rolebinding绑定role,只能对rolebingding所在的名称空间的资源有权限,属于名称空间级别的。
kubernetes Admission Controller 原理介绍
weixin_33737134的博客
05-24 442
Admission Controller介绍 Apiserver干的最重要的三个事就是: 认证 : 看是否是合法用户 授权 : 看用户具备哪些权限 admission controller : 一个调用链,对请求进行控制或修改,比如是否允许这个请求。 admission controller非常有用,也是经常会用到的k8s的一个扩展方式,今天在源码级别对其做一下介绍,以及如何自己去开发一个ad...
kubernetes/k8s源码分析】 kube-apiserver admission controller 源码分析
zhonglinzhang
07-04 7052
kubernetes git version: v1.14 初始化阶段admission代码流程 main --> NewAPIServerCommand --> NewServerRunOptions -->kubeoptions.NewAdmissi...
关于 KubernetesAdmission Controllers(准入控制器) 认知的一些笔记
山河已无恙
12-02 237
人活着就是为了忍受摧残,一直到死,想明了这一点,一切事情都能泰然处之 —— 王小波《黄金时代》准入控制器 可以简单理解为 。或者 的 ,编程的,AOP 切面,顾名思义, 准入控制器用于在 k8s 资源创建的时候做一些校验机制,判断创建的 API 资源是否可行。同时也可以对传递到准入控制器的 操作对象资源请求进行更改,在加工,或者完全拒绝。通过 准入控制器,可以灵活的处理对API 资源的准入进行限制,除了提供的内置准入控制器,K8s 还提供了 的方式,即可以通过编码的方式编写自己的的埋点逻辑。准入
admission-controller-webhook-demo:Kubernetes接纳控制器Webhook示例
05-01
Kubernetes Admission Controller Webhook演示这个软件库包含可以用作Kubernetes小HTTP服务器 。 该演示webhook的逻辑非常简单:它为以非root用户身份运行容器实施了更安全的默认设置。 尽管仍然可以以根用户身份...
aws-admission-controller:对AWS上的Giant Swarm Kubernetes集群的自定义资源强制执行某些规则
03-31
AWS准入控制器实施以下规则的Giant Swarm AWS Management Cluster准入控制器: 突变Webhook: 在AWSCluster资源,如果未设置Release CR,则会默认使用AWS Operator版本作为默认Release 。 在AWSCluster资源,...
internallb-webhook-admission-controller:Kubernetes内部负载平衡器准入Webhook
04-26
Kubernetes内部负载平衡器准入Webhook 该Kubernetes Admission控制器仅允许创建包含正确的云提供程序注释的v1 /服务资源,以创建内部LoadBalancers。 有关这些注释的详细信息,请参见。CircleCI构建状态项目状态实验...
admission-control:编写Kubernetes准入控制器的有用的微框架:magnifying_glass_tilted_right::admission_tickets:
04-30
入学控制 :detective: :detective: :detective: 用于为Kubernetes集群构建和部署动态的微框架。... 准入控制提供了许多有用的内置AdmitFunc ,包括: EnforcePodAnnotations确保允许的EnforcePodAnnotat
深入解析Kubernetes admission webhooks
期待幸福
07-11 916
admission controllers的特点:下图,显示了用户操作资源的流程,可以看出 admission controllers 作用是在通过身份验证资源持久化之前起到拦截作用。在准入控制器的加入会使kubernetes增加了更高级的安全功能。这里找到一个大佬博客画的图,通过两张图可以很清晰的了解到admission webhook流程,与官方给出的不一样的地方在于,这里清楚地定位了kubernetes admission webhook 处于准入控制,RBAC之后,push 之前。根据官方提供的说
Kubernetes准入控制器指南
weixin_44100234的博客
03-25 806
Kubernetes准入控制器指南 作者:Malte Isberner(StackRox) Kubernetes极大地提高了当今生产后端群集的速度和可管理性。由于其灵活性、可扩展性和易用性,Kubernetes已成为容器编排器的事实标准。Kubernetes也提供一系列保护生产工作负载的功能。安全功能的最新引入是一组称为“准入控制器”的插件。必须启用准入控制器才能使用Kubernetes的一...
Kubernetes API Server源码学习(四):Admission机制的实现、HttpReq的处理过程、Authentication与Authorization
hxt的博客
06-22 618
Admission Controller在HTTP请求经过登录和鉴权之后并且在Request真正被处理并且存储到Etcd之前去执行,可以修改请求对象(Mutation)或校验请求(Validation):登录和鉴权,校验Request发送者是否合法:Request以JSON格式发过来,转换为Go结构体类型,将外部版本转换为API Server内部APIObject版本:拿到Request对内容进行调整:通过Webhook调用Kubernetes使用者扩展的Mutation逻辑。
golang编写mysql operator
niwoxiangyu的博客
02-09 475
当集群的Spec(GreatDBClusterSpec)发生变化,比如用户修改了replica字段的值,operator将调动k8s资源使得集群status趋近于期望spec,具体表现为service/statefulset/pod等k8s内置资源的增删更新的操作(operator本质上也是调用k8s内置的controller)。Go语言是一种非常适合编写Kubernetes operator的语言,因为它具有高效的性能,易于编写和维护的代码,并且Kubernetes的大部分代码都是使用Go语言编写的。
Kubernetes 之APIServer组件简介
热门推荐
菲宇运维
08-21 3万+
API Server简介 k8s API Server提供了k8s各类资源对象(pod,RC,Service等)的增删改查及watch等HTTP Rest接口,是整个系统的数据总线和数据心。 kubernetes API Server的功能: 提供了集群管理的REST API接口(包括认证授权、数据校验以及集群状态变更); 提供其他模块之间的数据交互和通信的枢纽(其他模块通过API Se...
Kubernetes集群搭建过程遇到的问题
weixin_33845477的博客
11-26 436
1. 创建Nginx Pod过程报如下错误:     #kubectlcreate -f nginx-pod.yaml Error from server: error when creating "nginx-pod.yaml": Pod "nginx" is forbidden: no API token found for service account default/defau...
kubernetes/k8s源码分析】kube-apiserver 启动
zhonglinzhang
03-29 1万+
kubernetes v1.12 一. 序言 主要实现了功能 一个是请求的路由和处理,简单说就是监听一个端口,把接收到的请求正确地转到相应的处理逻辑上,另一个功能就是认证及权限控制 集群管理 资源配额控制 集群安全机制 kube-apiserver  --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,Defa...
kube-apiserver常用配置项
weixin_30593261的博客
12-05 822
KUBE_API_ADDRESS="--insecure-bind-address=0.0.0.0" KUBE_API_PORT="--insecure-port=8080"KUBE_ETCD_SERVERS="--etcd-servers=http://1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张晋涛-MoeLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值