Kubernetes 准入控制器详解!

最新推荐文章于 2023-01-18 16:28:16 发布
最新推荐文章于 2023-01-18 16:28:16 发布
阅读量623 收藏
点赞数
分类专栏: 技术
原文链接:https://medium.com/cloudlego/kubernetes-admission-controllers-request-interceptors-47a9b12c5303
版权

**Kubernetes 控制平面由几个组件组成。其中一个组件是 kube-apiserver,简单的 API server。**它公开了一个 REST 端点,用户、集群组件以及客户端应用程序可以通过该端点与集群进行通信。总的来说,它会进行以下操作:

  1. 从客户端应用程序(如 kubectl)接收标准 HTTP 请求。

  2. 验证传入请求并应用授权策略。

  3. 在成功的身份验证中,它能根据端点对象(Pod、Deployments、Namespace 等)和 http 动作(Create、Put、Get、Delete 等)执行操作。

  4. 对 etcd 数据存储进行更改以保存数据。

  5. 操作完成,它就向客户端发送响应。
    请求流程
    现在让我们考虑这样一种情况:**在请求经过身份验证后,但在对 etcd 数据存储进行任何更改之前,我们需要拦截该请求。**例如:

  6. 拦截客户端发送的请求。

  7. 解析请求并执行操作。

  8. 根据请求的结果,决定对 etcd 进行更改还是拒绝对 etcd 进行更改。

Kubernetes 准入控制器就是用于这种情况的插件。在代码层面,准入控制器逻辑与 API server 逻辑解耦,这样用户就可以开发自定义拦截器(custom interceptor),无论何时对象被创建、更新或从 etcd 中删除,都可以调用该拦截器。

有了准入控制器,从任意来源到 API server 的请求流将如下所示:
准入控制器阶段(来自官方文档)

官方文档地址:https://kubernetes.io/blog/2019/03/21/a-guide-to-kubernetes-admission-controllers/

根据准入控制器执行的操作类型,它可以分为 3 种类型:

  • Mutating(变更)

  • Validating(验证)

  • Both(两者都有)

**Mutating:**这种控制器可以解析请求,并在请求向下发送之前对请求进行更改(变更请求)。

示例:AlwaysPullImages

**Validating:**这种控制器可以解析请求并根据特定数据进行验证。

示例:NamespaceExists

**Both:**这种控制器可以执行变更和验证两种操作。

示例:CertificateSigning

有关这些控制器更多信息,查看官方文档:https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#what-does-each-admission-controller-do

准入控制器过程包括按顺序执行的2个阶段:

  1. Mutating(变更)阶段(先执行)

  2. Validation (验证)阶段(变更阶段后执行)

Kubernetes 集群已经在使用准入控制器来执行许多任务。

Kubernetes 附带的准入控制器列表:https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#what-does-each-admission-controller-do

通过该列表,我们可以发现大多数操作,如 AlwaysPullImages、DefaultStorageClass、PodSecurityPolicy 等,实际上都是由不同的准入控制器执行的。

如何启用或禁用准入控制器?

要启用准入控制器,我们必须在启动 kube-apiserver 时,将以逗号分隔的准入控制器插件名称列表传递给 --enable-ading-plugins。对于默认插件,命令如下所示:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MjhTEzcF-1612407754418)(/img/bVcOvGA)]
要禁用准入控制器插件,可以将插件名称列表传递给 --disable-admission-plugins。它将覆盖默认启用的插件列表。
在这里插入图片描述

默认准入控制器

  • NamespaceLifecycle

  • LimitRanger

  • ServiceAccount

  • TaintNodesByCondition

  • Priority

  • DefaultTolerationSeconds

  • DefaultStorageClass

  • StorageObjectInUseProtection

  • PersistentVolumeClaimResize

  • RuntimeClass

  • CertificateApproval

  • CertificateSigning

  • CertificateSubjectRestriction

  • DefaultIngressClass

  • MutatingAdmissionWebhook

  • ValidatingAdmissionWebhook

  • ResourceQuota

为什么要使用准入控制器?

准入控制器能提供额外的安全和治理层,以帮助 Kubernetes 集群的用户使用。

执行策略:通过使用自定义准入控制器,我们可以验证请求并检查它是否包含特定的所需信息。例如,我们可以检查 Pod 是否设置了正确的标签。如果没有,那可以一起拒绝该请求。某些情况下,如果请求中缺少一些字段,我们也可以更改这些字段。例如,如果 Pod 没有设置资源限制,我们可以为 Pod 添加特定的资源限制。通过这样的方式,除非明确指定,集群中的所有 Pod 都将根据我们的要求设置资源限制。Limit Range 就是这种实现。

安全性:我们可以拒绝不遵循特定规范的请求。例如,没有一个 Pod 请求可以将安全网关设置为以 root 用户身份运行。

统一工作负载:通过更改请求并为用户未设置的规范设置默认值,我们可以确保集群上运行的工作负载是统一的,并遵循集群管理员定义的特定标准。这些就是我们开始使用 Kubernetes 准入控制器需要知道的所有理论。

原文链接:https://mp.weixin.qq.com/s/tjdhLbCmRFUcZanVmqN2vA

K8sMeetup 社区
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kubernetes 准入控制器
RayPick的博客
05-26 1163
简而言之,Kubernetes 准入控制器是管理和强制定义集群使用方式的插件。可以将它们看作拦截(经过认证的)API 请求的守门员,可以更改请求对象或完全拒绝请求。准入控制的过程分为两步:先变异(mutate)后验证(validate)。举个例子,LimitRanger 准入控制器在变异阶段使用默认的资源配置来限制容器对资源的使用,并在验证阶段确保容器的资源限制不超过预期的。值得一提的是,许多用户认为内置的 Kubernetes 操作的某些方面实际上由准入控制器管理。
Kubernetes核心概念汇总—容器
深圳市多克创新科技有限公司
06-28 487
Kubernetes核心概念汇总—容器
k8s 准入控制器【1】-介绍
爱死亡机器人
01-05 1295
文章目录1. 背景2. 什么是准入控制器插件3. 为什么需要准入控制器?4. 如何启用一个准入控制器?5. 怎么关闭准入控制器?6. 哪些插件是默认启用的?每个准入控制器的作用是什么?AlwaysAdmitAlwaysPullImagesAlwaysDenyCertificateApprovalCertificateSigningCertificateSubjectRestrictionsDefaultStorageClassDefaultTolerationSecondsDenyExecOnPrivile
云原生 | Kubernetes - 通过配置内置准入控制器实施 Pod 安全标准
Trollz的博客
01-18 262
Cloud native | Kubernetes - implement the Pod security standard by configuring the built-in access controller
K8s安全管理:认证、授权、准入控制
weixin_49888547的博客
06-07 4037
k8s 对我们整个系统的认证,授权,访问控制做了精密的设置;对于 k8s 集群来说,apiserver 是整个集群访问控制的唯一入口,我们在 k8s 集群之上部署应用程序的时候,也可以通过宿主机的NodePort 暴露的端口访问里面的程序,用户访问 kubernetes 集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)1.认证(Authenticating)是对客户端的认证,通俗点就是用户名密码验证2.授权(Authorization)是对资源的授权,k8s 中
portieris:一个 Kubernetes 准入控制器,用于通过 Notary 验证图像信任
08-04
版权最近更新时间年2018、2021 2021-02-17 Portieris 是一个 Kubernetes 准入控制器,用于执行图像安全策略。 您可以为每个 Kubernetes 命名空间或集群级别创建镜像安全策略,并对不同的镜像实施不同的规则。这个...
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)
最新发布
01-09
kubernetes webhook image
哨兵:Kubernetes对象验证准入控制器
02-04
Sentry是一个Webhook验证准入控制器,可在准入之前对Kubernetes中的对象强制实施规则集群。 规则 Sentry当前支持以下执行规则。 如果未在config.yaml中将“ enabled”设置为true来设置它们,则不会强制执行它们。 ...
admission-control:编写Kubernetes准入控制器的有用的微框架:magnifying_glass_tilted_right::admission_tickets:
04-30
入学控制 :detective: :detective: :detective: 用于为Kubernetes集群构建和部署动态的微框架。... 准入控制提供了许多有用的内置AdmitFunc ,包括: EnforcePodAnnotations确保允许的EnforcePodAnnotat
4、Kubernetes 集群安全 - 准入控制1
08-04
通过合理配置和启用这些准入控制器Kubernetes集群可以实现细粒度的安全策略,保护集群免受恶意或误操作的影响,同时保持资源的有效管理和分配。在实际部署中,管理员应根据具体需求和安全策略选择合适的插件组合。
pod-security-admission:一个Kubernetes准入网络挂钩,以确保Pod安全标准
04-08
豆荚安全入场 项目状态:开发中 pod-security-admission是确保 一组 。 pod-security-admission旨在成为的简单替代品。 这不是策略引擎,用户无法灵活地编写自己的策略。 如果要这样做,建议您使用诸如和类的策略引擎。 入门 请参阅部署pod-security-admission到你Kubernetes集群。 政策规定 pod-security-admission根据Pod安全标准提供3种策略类型。 特权 Privileged是完全不受限制的策略。 准入webhook对带有Privileged标签的名称空间中的Pod无效。 该策略应应用于作为Kubernetes集群核心组件的Pod,例如网络插件。 此策略将应用于带有以下标签的属于名称空间的Pod: apiVersion : v1 kind : Namespace metadata : nam
18.准入控制器
LQ的博客
10-22 318
18.准入控制器 Admission Controller准入控制器作为把手kubernetes系统安全的最后一道关卡,对已知且有权限用户的操作合规性验证是缺一不可的! 1.什么是准入控制器准入控制器(Admission Controller)位于API Server中,在对象被持久化之前,准入控制器拦截对API Server的请求,一般用来做身份验证和授权。 其中包含两个特殊的控制器钩子: MutatingAdmissionWebhook和ValidatingAdmissionWebhook 1
Kubernetes准入控制
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
03-07 393
一、什么是K8S之准入控制 就是在创建资源经过身份验证之后,kube-apiserver在数据写入etcd之前做一次拦截,然后对资源进行更改、判断正确性等操作。 一个LimitRange(限制范围)对象提供的限制能够做到: 在一个命名空间中实施对每个 Pod 或 Container 最小和最大的资源使用量的限制。 在一个命名空间中实施对每个 PersistentVolumeClaim 能申请的最小和最大的存储空间大小的限制。 在一个命名空间中实施对一种资源的申请值和限制值的比值的控制。..
浅识k8s中的准入控制器
weixin_40418457的博客
07-04 1663
背景 在 k8s中各组件和kube apiserver通信时的认证和鉴权 中提到"NodeRestriction准入插件",实际上它是一个"准入控制器"。 "准入控制器"是一个重要的概念,在istio、apisix、某些安全产品中都有用到。 本文简要记录一下以下内容: "准入控制器"是什么 怎么开启"准入控制器" 从源码浅析"准入控制器" 本文使用的k8s集群是用kubekey搭建,
三十、K8s供应链安全1-准入控制器
tushanpeipei的博客
12-17 1029
准入控制器(admission-controllers)在K8s中的应用
kubernetes视频教程笔记 (32)-安全-准入控制Admission Control
软件工程小施同学 的专栏
12-15 342
准入控制 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是: NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSe.
Kubernetes准入控制器指南
weixin_44100234的博客
03-25 810
Kubernetes准入控制器指南 作者:Malte Isberner(StackRox) Kubernetes极大地提高了当今生产中后端群集的速度和可管理性。由于其灵活性、可扩展性和易用性,Kubernetes已成为容器编排器的事实标准。Kubernetes也提供一系列保护生产工作负载的功能。安全功能的最新引入是一组称为“准入控制器”的插件。必须启用准入控制器才能使用Kubernetes的一...
k8s笔记八(kubernetes中认证、授权、准入控制)
dayi_123的博客
05-24 1万+
1、k8s中的访问控制 API server作为kubernetes集群系统的网关,是访问及管理资源对象的唯一入口,而其他所有的组件及kubectl命令都要经由此网关进行集群的访问和管理。而各组件及客户端每一次的访问请求都要有api server进行合法性校验,包括身份鉴别、操作权限验证等。所有的检查通过之后才能访问或存入数据于后端的etcd中。客户端的认证操作是由api ser...
kubernetes安全机制--Admission Control 准入控制
热门推荐
程序源234的专栏
07-29 1万+
引言当请求通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。Admission Control 有一个准入控制列表,我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。
天融信网络准入控制系统-测试方案
09-22
天融信网络准入控制系统-测试方案

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值