本文摘要：准入控制器是Kubernetes API Server中保障集群安全与资源合规使用的核心组件，通过MutatingAdmissionWebhook和ValidatingAdmissionWebhook对请求对象进行变更或验证。在实际运维中，启用如AlwaysPullImages、LimitRanger、ResourceQuota及PodSecurityPolicy等准入控制器，可有效防止镜像篡改、实施资源限额与配额管理，并确保Pod创建的安全策略符合预期。集群管理者可通过kube-apiserver命令配置准入控制器的启用与禁用，以实现精细的集群资源管控与安全保障措施。

转载文章

本篇文章为转载内容。原文链接：https://blog.csdn.net/flq18210105507/article/details/120845744。

该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。

作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。

如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

18.准入控制器

Admission Controller准入控制器作为把手kubernetes系统安全的最后一道关卡，对已知且有权限用户的操作合规性验证是缺一不可的！

1.什么是准入控制器？

准入控制器（Admission Controller）位于API Server中，在对象被持久化之前，准入控制器拦截对API Server的请求，一般用来做身份验证和授权。

其中包含两个特殊的控制器钩子：

MutatingAdmissionWebhook和ValidatingAdmissionWebhook

1.变更（Mutating）准入控制

工作逻辑为修改请求的对象
2.验证（Validating）准入控制

工作逻辑为验证请求的对象

以上两类控制器可以分而治之，也能合作运行

2.为什么我们需要它？

就像我在上一章节提到的那样，准入控制器的引入可以很好的帮助我们运维人员，站在一个集群管理者的角度，去“限定”和规划集群资源的合理利用策略和期望状态。

同时，很多kubernetes的高级功能，也是基于准入控制器之上进行建设的。

3.常用的准入控制器

1.AlwaysPullImages

总是拉取远端镜像；

好处：可以避免本地系统处于非安全状态时，被别人恶意篡改了本地的容器镜像

2.LimitRanger

此准入控制器将确保所有资源请求不会超过namespace级别的LimitRange（定义Pod级别的资源限额，如cpu、mem）

3.ResourceQuota

此准入控制器负责集群的计算资源配额，并确保用户不违反命名空间的ResourceQuota对象中列举的任何约束
（定义名称空间级别的配额，如pod数量）

4.PodSecurityPolicy

此准入控制器用于创建和修改pod，
并根据请求的安全上下文和可用的Pod安全策略确定是否应该允许它。

4.如何开启准入控制器

在kubernetes环境中，你可以使用kube-apiserver命令结合enable-admission-plugins的flag，后面需要跟上以逗号分割的准入控制器清单，如下所示：

kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger …

5.如何关闭准入控制器

同理，你可以使用flag：disable-admission-plugins，来关闭不想要的准入控制器，如下所示：

kube-apiserver --disable-admission-plugins=PodNodeSelector,AlwaysDeny …

6.实战：控制器的使用

1.LimitRanger

1)首先，编辑limitrange-demo.yaml文件，我们定义了一个cpu的准入控制器。
其中定义了默认值、最小值和最大值等。

apiVersion: v1
kind: LimitRange
metadata:name: cpu-limit-rangenamespace: myns
spec:limits:- default:            #默认上限cpu: 1000mdefaultRequest:cpu: 1000mmin:cpu: 500mmax:cpu: 2000mmaxLimitRequestRatio:       #定义最大值是最小值的几倍，当前为4倍cpu: 4type: Container

2)apply -f之后，我们可以通过get命令来查看LimitRange的配置详情

[root@centos-1 dingqishi]# kubectl get LimitRange cpu-limit-range -n myns
NAME              CREATED AT
cpu-limit-range   2021-10-10T07:38:29Z[root@centos-1 dingqishi]# kubectl describe LimitRange cpu-limit-range -n myns
Name:       cpu-limit-range
Namespace:  myns
Type        Resource  Min   Max  Default Request  Default Limit  Max Limit/Request Ratio
----        --------  ---   ---  ---------------  -------------  -----------------------
Container   cpu       500m  2    1                1              4

2.ResourceQuota

1)同理，编辑配置文件resoucequota-demo.yaml，并apply；
其中，我们定义了myns名称空间下的资源配额。

apiVersion: v1
kind: ResourceQuota
metadata:name: quota-examplenamespace: myns
spec:hard:pods: "5"requests.cpu: "1"requests.memory: 1Gilimits.cpu: "2"limits.memory: 2Gicount/deployments.apps: "2"count/deployments.extensions: "2"persistentvolumeclaims: "2"

2)此时，也可以查看到ResourceQuota的相关配置，是否生效

[root@centos-1 dingqishi]# kubectl get ResourceQuota -n myns
NAME            CREATED AT
quota-example   2021-10-10T08:23:54Z[root@centos-1 dingqishi]# kubectl describe ResourceQuota quota-example -n myns
Name:                         quota-example
Namespace:                    myns
Resource                      Used  Hard
--------                      ----  ----
count/deployments.apps        0     2
count/deployments.extensions  0     2
limits.cpu                    0     2
limits.memory                 0     2Gi
persistentvolumeclaims        0     2
pods                          0     5
requests.cpu                  0     1
requests.memory               0     1Gi

大家可以将生效后的控制器，结合相关pod自行测试资源配额的申请、限制和使用的情况

本篇文章为转载内容。原文链接：https://blog.csdn.net/flq18210105507/article/details/120845744。

该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。

作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。

如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

名词解释

作为当前文章的名词解释，仅对当前文章有效。

准入控制器（Admission Controller）：准入控制器是Kubernetes系统中的一个核心组件，它位于API Server层级，在接收到用户的请求并对对象进行持久化存储之前对这些请求进行拦截和处理。其主要作用是对集群资源的创建、更新等操作执行验证、修改或拒绝等策略，确保集群资源的安全性和合规性。例如，它可以限制用户对Pod资源的创建请求，确保Pod的配置符合预设的安全策略或者资源使用限额。

MutatingAdmissionWebhook：MutatingAdmissionWebhook是Kubernetes准入控制器的一种特殊类型，它的功能是在API Server将请求写入数据库前，能够实时地修改请求中的对象数据。比如，它可以自动为Pod添加默认的环境变量、注解或者调整容器的资源请求值，从而实现集群级别的标准化配置和资源优化管理。

ResourceQuota：ResourceQuota是Kubernetes中用于控制Namespace级别资源使用的机制，它是一种准入控制器，可以设置命名空间内各种资源类型的配额上限，如CPU、内存以及Pod数量等。当Namespace内的资源用量达到设定的quota时，kube-apiserver会阻止超出配额的资源创建请求，以此来保证集群资源的合理分配和避免资源滥用情况的发生。在实际应用中，管理员通过定义ResourceQuota对象并将其关联到特定Namespace，就能够实现对整个Namespace资源总量的有效管理和限制。