kubernetes 准入:操作合法性检查(Admission Control)

kubernetes 

目录

说明

可以在认证鉴权通过后施加进一步的检查,拒绝不允许的操作或者对请求进行修改矫正。kubernetes 内置了多个 admission controller 用于不同方面的操作检查,同时也提供了 webhook 接口用于用户自定义策略的接入。

kubernetes 内置 Admission Controllers

内置的 adminssion controller 编译在 kube-apiserver 中,通过 kube-apiserver 的 enable-admission-plugins 参数启用。可用的 admission controller 不停更新,最新列表见:

部分 admission controllers 的用途:

AlwaysPullImages:                     强制将 image pull policy 设置为 Always
CertificateApproval:                  检查对 CSR 的 approve 操作
CertificateSigning:                   检查对 CSR status.certificate 的更新操作
CertificateSubjectRestriction:        检查 CSR 
DefaultIngressClass:                  检查 Ingress 的 IngressClass
DefaultTolerationSeconds:             设置 pod 对 taints 默认容忍时间
DenyServiceExternalIPs:               禁止 Service 的 externalIPs
DefaultStorageClass:                   为没有指定 StorageClass 的 PVC 设置默认的 StorageClass
DefaultTolerationSeconds:              node 被设置 NoExecute Taint 后,pod 的容忍时间,超过后被驱逐
EventRateLimit:                        事件限速
ExtendedResourceToleration:            自动为带有 extended resources(GPU/FPGA等)的 node 设置 taint
ImagePolicyWebhook:                    镜像访问控制的 webhook
LimitPodHardAntiAffinityTopology:     反亲和性
LimitRanger:                           为没有设置 cpu/memory 的 pod 设置默认数量
NamespaceAutoProvision:                自动创建 namespace
NamespaceExists:                       检查 namespace 是否存在
NamespaceLifecycle:                   namespace 删除期间,不接受相关请求
NodeRestriction:                      限制 kubelet 可以对 node 和 pod 做出的修改
OwnerReferencesPermissionEnforcement: 限制对 metadata.ownerReferences 的访问
PodNodeSelector:                       设置 namespace 的中的 pod 的选择 node 的条件
PersistentVolumeClaimResize:           pvc 扩容检查
PodPreset:                            自动在 Pod 创建时注入信息
PodSecurityPolicy:                     Pod 操作的细粒度权限控制
PodTolerationRestriction:              检查合并 Pod 和 Namespace 的 Toleration,并与 namespace 的 Toleration 白名单比对
Priority:                              Pod 的优先级设置 priorityClassName 
ResourceQuota:                         资源配额检查
RuntimeClass:                          自动为 Pod 设置 pod.Spec.Overhead(额外开销)
SecurityContextDeny:                   禁止 SecurityContext 权限提升
ServiceAccount:                        ServiceAccount 设置
StorageObjectInUseProtection:          为 PV 和 PVC 设置 Finalizers,防止正在使用时被删除,从而造成数据丢失
TaintNodesByCondition:                为新建的 Node 设置 NotReady 和 NoSchedule taint。
MutatingAdmissionWebhook:              顺序调用会修改 object 的 webhook
ValidatingAdmissionWebhook:            并发调用检验 object 的 webhook

MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook

配置 webhook 的认证凭证

在 apiserver 启动时,通过参数 –admission-control-config-file 指定 admission control 的配置文件。

apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: ValidatingAdmissionWebhook
  configuration:
    apiVersion: apiserver.config.k8s.io/v1
    kind: WebhookAdmissionConfiguration
    kubeConfigFile: "<path-to-kubeconfig-file>"
- name: MutatingAdmissionWebhook
  configuration:
    apiVersion: apiserver.config.k8s.io/v1
    kind: WebhookAdmissionConfiguration
    kubeConfigFile: "<path-to-kubeconfig-file>"

其中 kubeConfigFile 中指定 Webhook 的地址和认证凭证(证书、密码等):

apiVersion: v1
kind: Config
users:
- name: 'webhook1.ns1.svc'
  user:
    client-certificate-data: "<pem encoded certificate>"
    client-key-data: "<pem encoded key>"
# The `name` supports using * to wildcard-match prefixing segments.
- name: '*.webhook-company.org'
  user:
    password: "<password>"
    username: "<name>"
# '*' is the default match.
- name: '*'
  user:
    token: "<token>"

配置 Webhook 规则

在 kubernetes 中创建 ValidatingWebhookConfiguration、MutatingWebhookConfiguration,配置需要经过 webhook 检查的操作。ValidatingWebhookConfiguration 配置方式如下:

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: "pod-policy.example.com"
webhooks:
- name: "pod-policy.example.com"
  rules:
  - apiGroups:   [""]
    apiVersions: ["v1"]
    operations:  ["CREATE"]
    resources:   ["pods"]
    scope:       "Namespaced"
  clientConfig:
    service:
      namespace: "example-namespace"
      name: "example-service"
    caBundle: <CA_BUNDLE>
  admissionReviewVersions: ["v1"]
  sideEffects: None
  timeoutSeconds: 5

Webhook 的请求和响应格式

发送到 webhook 的是 AdmissionReview,可以在 webhook 配置中指定 AdmissionReview 的版本。

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
webhooks:
- name: my-webhook.example.com
  admissionReviewVersions: ["v1", "v1beta1"]

webhook 返回的内容如下:

{
  "apiVersion": "admission.k8s.io/v1",
  "kind": "AdmissionReview",
  "response": {
    "uid": "<value from request.uid>",
    "allowed": true
  }
}

参考

  1. 李佶澳的博客
  2. kubernetes 认证:用户管理与身份认证
  3. kubernetes 鉴权:用户操作权限鉴定
  4. Admission Controllers Reference
  5. Dynamic Admission Control
  6. what-does-each-admission-controller-do
编程基础  系统基础  关注跟踪 
Kubernetes  Prometheus  超级账本 


kubernetes

  1. 使用 kubespray 部署 kubernetes 集群
  2. kubernetes 使用:多可用区、Pod 部署拓扑与 Topology Aware Routing
  3. kubernetes 扩展:Cloud Controller Manager
  4. kubernetes 准入:操作合法性检查(Admission Control)
  5. kubernetes 鉴权:用户操作权限鉴定(Authorization)
  6. kubernetes 认证:用户管理与身份认证(Authenticating)
  7. kubernetes 开发:代码生成工具
  8. kubernetes 扩展:operator 开发
  9. kubernetes 扩展:CRD 的使用方法
  10. kubernetes configmap 热加载,inotifywatch 监测文件触发热更新
  11. kubernetes 扩展:扩展点和方法(api/cr/plugin...)
  12. kubernetes 调度组件 kube-scheduler 1.16.3 源代码阅读指引
  13. kubernetes 代码中的 k8s.io 是怎么回事?
  14. 阅读笔记《不一样的 双11 技术,阿里巴巴经济体云原生实践》
  15. kubernetes ingress-nginx 启用 upstream 长连接,需要注意,否则容易 502
  16. ingress-nginx 的限速功能在 nginx.conf 中的对应配置
  17. kubernetes 中的容器设置透明代理,自动在 HTTP 请求头中注入 Pod 信息
  18. kubernetes ingress-nginx 的测试代码(单元测试+e2e测试)
  19. kubernetes ingress-nginx http 请求复制功能与 nginx mirror 的行为差异
  20. kubernetes 基于 openresty 的 ingress-nginx 的状态和配置查询
  21. kubernetes ingress-nginx 0.25 源代码走读笔记
  22. kubernetes ingress-nginx 的金丝雀(canary)/灰度发布功能的使用方法
  23. kubernetes 操作命令 kubectl 在 shell 中的自动补全配置
  24. kubernetes 组件 kube-proxy 的 IPVS 功能的使用
  25. kubernetes initializer 功能的使用方法: 在 Pod 等 Resource 落地前进行修改
  26. kubernetes 版本特性: 新特性支持版本和组件兼容版本
  27. kubernetes API 与 Operator: 不为人知的开发者战争(完整篇)
  28. kubernetes 1.12 从零开始(七): kubernetes开发资源
  29. kubernetes 1.12 从零开始(六): 从代码编译到自动部署
  30. kubernetes 网络方案 Flannel 的学习笔记
  31. kubernetes 1.12 从零开始(五): 自己动手部署 kubernetes
  32. kubernetes 1.12 从零开始(四): 必须先讲一下基本概念
  33. kubernetes 1.12 从零开始(三): 用 kubeadm 部署多节点集群
  34. kubernetes 1.12 从零开始(二): 用 minikube 部署开发测试环境
  35. kubernetes 1.12 从零开始(一): 部署环境准备
  36. kubernetes 1.12 从零开始(零): 遇到的问题与解决方法
  37. kubernetes 1.12 从零开始(初): 课程介绍与官方文档汇总
  38. kubernetes 集群状态监控:通过 grafana 和 prometheus
  39. 一些比较有意思的Kubernetes周边产品
  40. Borg论文阅读笔记
  41. kubelet下载pod镜像时,docker口令文件的查找顺序
  42. kubernetes 的 Client Libraries 的使用
  43. kubernetes的网络隔离networkpolicy
  44. kube-router的源码走读
  45. kubernetes 跨网段通信: 通过 calico 的 ipip 模式
  46. kubernetes的调试方法
  47. kubernetes 与 calico 的衔接过程
  48. 怎样理解 kubernetes 以及微服务?
  49. kubernetes中部署有状态的复杂分布式系统
  50. kubernetes的apiserver的启动过程
  51. kubernetes的api定义与装载
  52. kubernetes的federation部署,跨区Service
  53. kubernetes的编译、打包、发布
  54. kubernetes的第三方包的使用
  55. kubernetes的Storage的实现
  56. kubernetes 的 Apiserver 的 storage 使用
  57. kubernetes的Controller-manager的工作过程
  58. kubernetes的Client端Cache
  59. kubernetes 的 Apiserver 的工作过程
  60. kubernetes的CNI插件初始化与Pod网络设置
  61. kubernetes的Pod变更过程
  62. kubernetes的kubelet的工作过程
  63. kuberntes 的 Cmdline 实现
  64. kubernetes的Pod内挂载的Service Account的使用方法
  65. kubernetes的社区资源与项目参与方式
  66. kubernetes的Kube-proxy的转发规则分析
  67. kubernetes的基本操作
  68. kubernetes在CentOS上的集群部署
  69. kubernetes在CentOS上的All In One部署
  70. 怎样选择集群管理系统?

推荐阅读

Copyright @2011-2019 All rights reserved. 转载请添加原文连接,合作请加微信lijiaocn或者发送邮件: [email protected],备注网站合作

友情链接:  Some Online Tools Develop by Me  系统软件  程序语言  运营经验  水库文集  网络课程  微信网文