摘要:如果有一個準入控制拒絕了此次請求����,那么整個請求的結果將會立即返回�,并提示用戶相應的信息。
這是啥
準入控制admission controller本質上一段代碼,在對kubernetes api的請求過程中�,順序為 先經過 認證 & 授權�����,執行準入操作,在對目標對象進行操作。這個準入代碼在apiserver中�����,而且必須被編譯到二進制文件中才能被執行��。
在對集群進行請求時�,每個準入控制代碼都按照一定順序執行��。如果有一個準入控制拒絕了此次請求����,那么整個請求的結果將會立即返回�����,并提示用戶相應的error信息。
在某些情況下��,為了適用于應用系統的配置��,準入邏輯可能會改變目標對象���。此外�����,準入邏輯也會改變請求操作的一部分相關資源。
為什么需要���?
在kubernetes中,一些高級特性正常運行的前提條件為����,將一些準入模塊處于enable狀態����??偨Y下,對于kubernetes apiserver�����,如果不適當的配置準入控制模塊����,他就不能稱作是一個完整的server,某些功能也不會正常的生效�。
如何開啟一個準入模塊
在kubernetes apiserver中有一個參數:admission_control,他的值為一串用逗號連接的 有序的 準入模塊列表���,設置后,就可在對象唄操作前執行一定順序的準入模塊調用�����。
每個準入模塊都干了啥
AlwaysAdmit
對所有請求開綠燈�����。
AlwaysDeny
對所有請求開紅燈�����,多用于測試環境�����。
DenyExecOnPrivileged
它會攔截所有想在privileged container上執行命令的請求。
如果自己的集群支持privileged container�����,自己又希望限制用戶在這些privileged container上執行命令��,那么強烈推薦使用它���。
ServiceAccount
這個plug-in將 serviceAccounts實現了自動化�����,如果想要使用ServiceAccount 對象,那么強烈推薦使用它����。
關于serviceAccount的描述如下:
一個serviceAccount為運行在pod內的進程添加了相應的認證信息。當準入模塊中開啟了此插件(默認開啟)��,那么當pod創建或修改時他會做一下事情:
如果pod沒有serviceAccount屬性����,將這個pod的serviceAccount屬性設為“default”;
確保pod使用de serviceAccount始終存在;
如果LimitSecretReferences 設置為true,當這個pod引用了Secret對象卻沒引用ServiceAccount對象���,棄置這個pod;
如果這個pod沒有包含任何ImagePullSecrets,則serviceAccount的ImagePullSecrets被添加給這個pod�����;
如果MountServiceAccountToken為true�,則將pod中的container添加一個VolumeMount 。
SecurityContextDeny
這個插件將會將使用了 SecurityContext的pod中定義的選項全部失效。
關于 SecurityContext的描述:
SecurityContext 在container中定義了操作系統級別的安全設定(uid, gid, capabilities, SELinux等等)���。
ResourceQuota
它會觀察所有的請求,確保在namespace中ResourceQuota對象處列舉的container沒有任何異常。如果在kubernetes中使用了ResourceQuota對象,就必須使用這個插件來約束container。
推薦在admission control參數列表中,這個插件排最后一個��。
LimitRanger
他會觀察所有的請求�,確保沒有違反已經定義好的約束條件,這些條件定義在namespace中LimitRange對象中。如果在kubernetes中使用LimitRange對象�����,則必須使用這個插件����。
NamespaceExists
它會觀察所有的請求,如果請求嘗試創建一個不存在的namespace,則這個請求被拒絕��。
有推薦的插件順序嗎���?
有���!
--admission_control=NamespaceLifecycle,NamespaceExists,LimitRanger,SecurityContextDeny,ServiceAccount,ResourceQuota
文章版權歸作者所有����,未經允許請勿轉載,若此文章存在違規行為��,您可以聯系管理員刪除��。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/32437.html
