游乐场网站开发,推广普通话奋进新征程手抄报,织梦做双语网站,东莞建设网站官网住房和城乡Kubernetes 准入控制器是什么#xff1f;为什么要使用准入控制器#xff1f;如何使用#xff1f;本文对 Kubernetes 准入控制器进行了详细解释。来源 | K8sMeetup作者 | Arun Prasad头图 | 下载于视觉中国Kubernetes 控制平面由几个组件组成。其中一个组件是 kube-apiserver… Kubernetes 准入控制器是什么为什么要使用准入控制器如何使用本文对 Kubernetes 准入控制器进行了详细解释。来源 | K8sMeetup作者 | Arun Prasad头图 | 下载于视觉中国Kubernetes 控制平面由几个组件组成。其中一个组件是 kube-apiserver简单的 API server。它公开了一个 REST 端点用户、集群组件以及客户端应用程序可以通过该端点与集群进行通信。总的来说它会进行以下操作从客户端应用程序如 kubectl接收标准 HTTP 请求。验证传入请求并应用授权策略。在成功的身份验证中它能根据端点对象Pod、Deployments、Namespace 等和 http 动作Create、Put、Get、Delete 等执行操作。对 etcd 数据存储进行更改以保存数据。操作完成它就向客户端发送响应。请求流程现在让我们考虑这样一种情况在请求经过身份验证后但在对 etcd 数据存储进行任何更改之前我们需要拦截该请求。例如拦截客户端发送的请求。解析请求并执行操作。根据请求的结果决定对 etcd 进行更改还是拒绝对 etcd 进行更改。Kubernetes 准入控制器就是用于这种情况的插件。在代码层面准入控制器逻辑与 API server 逻辑解耦这样用户就可以开发自定义拦截器custom interceptor无论何时对象被创建、更新或从 etcd 中删除都可以调用该拦截器。有了准入控制器从任意来源到 API server 的请求流将如下所示准入控制器阶段来自官方文档官方文档地址https://kubernetes.io/blog/2019/03/21/a-guide-to-kubernetes-admission-controllers/根据准入控制器执行的操作类型它可以分为 3 种类型Mutating变更Validating验证Both两者都有Mutating这种控制器可以解析请求并在请求向下发送之前对请求进行更改变更请求。示例AlwaysPullImagesValidating这种控制器可以解析请求并根据特定数据进行验证。示例NamespaceExistsBoth这种控制器可以执行变更和验证两种操作。示例CertificateSigning有关这些控制器更多信息查看官方文档https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#what-does-each-admission-controller-do准入控制器过程包括按顺序执行的2个阶段Mutating变更阶段先执行Validation 验证阶段变更阶段后执行Kubernetes 集群已经在使用准入控制器来执行许多任务。Kubernetes 附带的准入控制器列表https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#what-does-each-admission-controller-do通过该列表我们可以发现大多数操作如 AlwaysPullImages、DefaultStorageClass、PodSecurityPolicy 等实际上都是由不同的准入控制器执行的。如何启用或禁用准入控制器要启用准入控制器我们必须在启动 kube-apiserver 时将以逗号分隔的准入控制器插件名称列表传递给 --enable-ading-plugins。对于默认插件命令如下所示要禁用准入控制器插件可以将插件名称列表传递给 --disable-admission-plugins。它将覆盖默认启用的插件列表。默认准入控制器NamespaceLifecycleLimitRangerServiceAccountTaintNodesByConditionPriorityDefaultTolerationSecondsDefaultStorageClassStorageObjectInUseProtectionPersistentVolumeClaimResizeRuntimeClassCertificateApprovalCertificateSigningCertificateSubjectRestrictionDefaultIngressClassMutatingAdmissionWebhookValidatingAdmissionWebhookResourceQuota为什么要使用准入控制器准入控制器能提供额外的安全和治理层以帮助 Kubernetes 集群的用户使用。执行策略通过使用自定义准入控制器我们可以验证请求并检查它是否包含特定的所需信息。例如我们可以检查 Pod 是否设置了正确的标签。如果没有那可以一起拒绝该请求。某些情况下如果请求中缺少一些字段我们也可以更改这些字段。例如如果 Pod 没有设置资源限制我们可以为 Pod 添加特定的资源限制。通过这样的方式除非明确指定集群中的所有 Pod 都将根据我们的要求设置资源限制。Limit Range 就是这种实现。安全性我们可以拒绝不遵循特定规范的请求。例如没有一个 Pod 请求可以将安全网关设置为以 root 用户身份运行。统一工作负载通过更改请求并为用户未设置的规范设置默认值我们可以确保集群上运行的工作负载是统一的并遵循集群管理员定义的特定标准。这些就是我们开始使用 Kubernetes 准入控制器需要知道的所有理论。原文链接https://medium.com/cloudlego/kubernetes-admission-controllers-request-interceptors-47a9b12c5303更多阅读推荐都在说云原生它的技术图谱你真的了解吗SRE 是如何保障稳定性的如何写出让 CPU 跑得更快的代码Serverless 在 SaaS 领域的最佳实践云原生人物志|Pulsar翟佳社区的信任最重要阿里的 RocketMQ 如何让双十一峰值之下0故障