18.准入控制器

最新推荐文章于 2024-04-13 21:02:02 发布
最新推荐文章于 2024-04-13 21:02:02 发布
阅读量388 收藏
点赞数
文章标签: kubernetes
LQ@fenglq.com
本文链接:https://blog.youkuaiyun.com/flq18210105507/article/details/120845744
版权

18.准入控制器

Admission Controller准入控制器作为把手kubernetes系统安全的最后一道关卡,对已知且有权限用户的操作合规性验证是缺一不可的!

1.什么是准入控制器?

准入控制器(Admission Controller)位于API Server中,在对象被持久化之前,准入控制器拦截对API Server的请求,一般用来做身份验证和授权。

其中包含两个特殊的控制器钩子:

MutatingAdmissionWebhook和ValidatingAdmissionWebhook

1.变更(Mutating)准入控制

工作逻辑为修改请求的对象
2.验证(Validating)准入控制

工作逻辑为验证请求的对象

以上两类控制器可以分而治之,也能合作运行

2.为什么我们需要它?

就像我在上一章节提到的那样,准入控制器的引入可以很好的帮助我们运维人员,站在一个集群管理者的角度,去“限定”和规划集群资源的合理利用策略和期望状态。

同时,很多kubernetes的高级功能,也是基于准入控制器之上进行建设的。

3.常用的准入控制器

1.AlwaysPullImages

总是拉取远端镜像;

好处:可以避免本地系统处于非安全状态时,被别人恶意篡改了本地的容器镜像

2.LimitRanger

此准入控制器将确保所有资源请求不会超过namespace级别的LimitRange(定义Pod级别的资源限额,如cpu、mem)

3.ResourceQuota

此准入控制器负责集群的计算资源配额,并确保用户不违反命名空间的ResourceQuota对象中列举的任何约束
(定义名称空间级别的配额,如pod数量)

4.PodSecurityPolicy

此准入控制器用于创建和修改pod,
并根据请求的安全上下文和可用的Pod安全策略确定是否应该允许它。

4.如何开启准入控制器

在kubernetes环境中,你可以使用kube-apiserver命令结合enable-admission-plugins的flag,后面需要跟上以逗号分割的准入控制器清单,如下所示:

kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger …

5.如何关闭准入控制器

同理,你可以使用flag:disable-admission-plugins,来关闭不想要的准入控制器,如下所示:

kube-apiserver --disable-admission-plugins=PodNodeSelector,AlwaysDeny …

6.实战:控制器的使用

1.LimitRanger

1)首先,编辑limitrange-demo.yaml文件,我们定义了一个cpu的准入控制器。
其中定义了默认值、最小值和最大值等。

apiVersion: v1
kind: LimitRange
metadata:
  name: cpu-limit-range
  namespace: myns
spec:
  limits:
  - default:            #默认上限
      cpu: 1000m
    defaultRequest:
      cpu: 1000m
    min:
      cpu: 500m
    max:
      cpu: 2000m
    maxLimitRequestRatio:       #定义最大值是最小值的几倍,当前为4倍
      cpu: 4
    type: Container

2)apply -f之后,我们可以通过get命令来查看LimitRange的配置详情

[root@centos-1 dingqishi]# kubectl get LimitRange cpu-limit-range -n myns
NAME              CREATED AT
cpu-limit-range   2021-10-10T07:38:29Z

[root@centos-1 dingqishi]# kubectl describe LimitRange cpu-limit-range -n myns
Name:       cpu-limit-range
Namespace:  myns
Type        Resource  Min   Max  Default Request  Default Limit  Max Limit/Request Ratio
----        --------  ---   ---  ---------------  -------------  -----------------------
Container   cpu       500m  2    1                1              4

2.ResourceQuota

1)同理,编辑配置文件resoucequota-demo.yaml,并apply;
其中,我们定义了myns名称空间下的资源配额。

apiVersion: v1
kind: ResourceQuota
metadata:
  name: quota-example
  namespace: myns
spec:
  hard:
    pods: "5"
    requests.cpu: "1"
    requests.memory: 1Gi
    limits.cpu: "2"
    limits.memory: 2Gi
    count/deployments.apps: "2"
    count/deployments.extensions: "2"
    persistentvolumeclaims: "2"

2)此时,也可以查看到ResourceQuota的相关配置,是否生效

[root@centos-1 dingqishi]# kubectl get ResourceQuota -n myns
NAME            CREATED AT
quota-example   2021-10-10T08:23:54Z

[root@centos-1 dingqishi]# kubectl describe ResourceQuota quota-example -n myns
Name:                         quota-example
Namespace:                    myns
Resource                      Used  Hard
--------                      ----  ----
count/deployments.apps        0     2
count/deployments.extensions  0     2
limits.cpu                    0     2
limits.memory                 0     2Gi
persistentvolumeclaims        0     2
pods                          0     5
requests.cpu                  0     1
requests.memory               0     1Gi

大家可以将生效后的控制器,结合相关pod自行测试资源配额的申请、限制和使用的情况

浅识k8s中的准入控制器
weixin_40418457的博客
07-04 1733
背景 在 k8s中各组件和kube apiserver通信时的认证和鉴权 中提到"NodeRestriction准入插件",实际上它是一个"准入控制器"。 "准入控制器"是一个重要的概念,在istio、apisix、某些安全产品中都有用到。 本文简要记录一下以下内容: "准入控制器"是什么 怎么开启"准入控制器" 从源码浅析"准入控制器" 本文使用的k8s集群是用kubekey搭建,
云原生之Kubernetes18、详解准入控制器
LQ的博客
09-02 597
详解准入控制器
kubernetes视频教程笔记 (32)-安全-准入控制Admission Control
软件工程小施同学 的专栏
12-15 418
准入控制 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是: NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSe.
Kubernetes 准入控制器
RayPick的博客
05-26 1281
简而言之,Kubernetes 准入控制器是管理和强制定义集群使用方式的插件。可以将它们看作拦截(经过认证的)API 请求的守门员,可以更改请求对象或完全拒绝请求。准入控制的过程分为两步:先变异(mutate)后验证(validate)。举个例子,LimitRanger 准入控制器在变异阶段使用默认的资源配置来限制容器对资源的使用,并在验证阶段确保容器的资源限制不超过预期的。值得一提的是,许多用户认为内置的 Kubernetes 操作的某些方面实际上由准入控制器管理。
Kubernetes(二十)准入控制器
wzj_110的博客
11-30 410
一 官网 (1)什么是准入控制器? -->'重要' (2)为什么需要准入控制器? -->'重要' (3)如何启用一个准入控制器? -->'重要' (4)怎么关闭准入控制器? (5)哪些插件是默认启用的? -->'知道' (6)每个'准入控制器的作用'是什么? -->'了解核心' 二 进入主题 (1)准入控制器的概念 准入控制器的种类 准入控制器是'一段代码',它会在'请求'通过'认证和授权'之后、'对象被持久化之前'-->'拦截'到达 A...
Kubernetes 准入控制器详解!
weixin_44100171的博客
02-04 750
**Kubernetes 控制平面由几个组件组成。其中一个组件是 kube-apiserver,简单的 API server。**它公开了一个 REST 端点,用户、集群组件以及客户端应用程序可以通过该端点与集群进行通信。总的来说,它会进行以下操作: 从客户端应用程序(如 kubectl)接收标准 HTTP 请求。 验证传入请求并应用授权策略。 在成功的身份验证中,它能根据端点对象(Pod、Deployments、Namespace 等)和 http 动作(Create、Put、Get、Dele
盈高-网络准入控制解决方案.pdf
06-14
盈高的网络准入控制解决方案主要体现在其ASM6000入网规范管理系统,这是一款基于第三代准入控制技术的硬件网络准入控制系统。该系统旨在确保终端安全,同时不改变原有网络架构,提供灵活的客户端选项,并实现了终端...
华为网络准入控制及终端安全方案.pdf
08-29
为了确保在转型过程中的网络安全,实现有线和无线网络的一体化准入控制变得尤为重要。本文将详细探讨华为提供的网络准入控制及终端安全方案,以及在此方案中所应用的关键技术和实施步骤。 首先,了解802.1X协议是...
kubernetes Adminssion Webhook 准入控制器 (ImagePolicyWebhook)
01-09
kubernetes webhook image
Kubernetes准入控制
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
03-07 448
一、什么是K8S之准入控制 就是在创建资源经过身份验证之后,kube-apiserver在数据写入etcd之前做一次拦截,然后对资源进行更改、判断正确性等操作。 一个LimitRange(限制范围)对象提供的限制能够做到: 在一个命名空间中实施对每个 Pod 或 Container 最小和最大的资源使用量的限制。 在一个命名空间中实施对每个 PersistentVolumeClaim 能申请的最小和最大的存储空间大小的限制。 在一个命名空间中实施对一种资源的申请值和限制值的比值的控制。..
Kubernetes运维篇】RBAC之准入控制器详解
秦子腾
07-16 6373
如果我们在创建Pod定义了资源上下限,但不满足LimitRanger规则中定义的资源上下限,此时LimitRanger会拒绝创建Pod资源,如果创建Pod时没有指定资源上下限,默认会使用LimitRanger规则中的资源上下限制。强制执行资源限制:LimitRanger可以确保Pod或容器只使用指定的资源限制,通过对Pod的准入控制来强制执行这些限制。通过设置配额限制,可以控制每个命名空间可用的资源总量,以及每个命名空间中每种资源的使用情况。,防止在一个名称空间下的Pod占用过多的资源,
kubernetes API 访问控制之:准入控制
看,未来的博客
06-02 815
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
准入控制器 修改_Kubernetes准入控制器指南
编程故事的地方
06-30 881
准入控制器 修改 Kubernetes支持30多个准入控制器。 在授权和身份验证之后 , 准入控制器是三步过程的最后一步,之前Kubernetes将资源etcd在etcd (一个一致且高度可用的键值存储,用作所有集群数据Kubernetes的后备存储)。 一些有关确保运行中的容器安全的准入控制器是: PodSecurityPolicy:此选项基于安全上下文和可用策略来实现Pod接纳。 ...
Kubernetes认证和准入控制
最新发布
qq42004的博客
04-13 1016
让一个用户(Users)扮演一个角色(Role),角色拥有权限,从而让用户拥有这样的权限,随后在授权机制当中,只需要将权限授予某个角色,此时用户将获取对应角色的权限,从而实现角色的访问控制。当采用RBAC的方式进行授权时,把对对象(k8s的资源一类)的操作权限定义到一个角色当中,再将用户绑定到该角色,从而使用户得到对应角色的权限。如果是通过rolebinding绑定role,只能对rolebingding所在的名称空间的资源有权限,属于名称空间级别的。
Kubernetes 准入控制
RAB
11-07 326
Kubernetes 准入控制 - LimitRange/StorageQuota。
Admission(准入控制器)-2021.12.05
weixin_39246554的博客
12-05 1334
目录 文章目录目录实验环境实验软件1、准入控制器2、admission webhook 是什么3、创建配置一个 Admission Webhook1.编写 webhook2.构建3.部署4、配置 webhook5、测试6、部署 mutating webhook关于我最后 实验环境 实验环境: 1、win10,vmwrokstation虚机; 2、k8s集群:3台centos7.6 1810虚机,1个master节点,2个node节点 k8s version:v1.22.2 containerd.
Kubernetes准入控制器指南
weixin_44100234的博客
03-25 913
Kubernetes准入控制器指南 作者:Malte Isberner(StackRox) Kubernetes极大地提高了当今生产中后端群集的速度和可管理性。由于其灵活性、可扩展性和易用性,Kubernetes已成为容器编排器的事实标准。Kubernetes也提供一系列保护生产工作负载的功能。安全功能的最新引入是一组称为“准入控制器”的插件。必须启用准入控制器才能使用Kubernetes的一...
准入控制器: Admission Webhook
qq_36270681的博客
01-22 1457
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可
Kubernetes APIServer 准入控制
小楼一夜听春雨,深巷明朝卖杏花
07-14 773
作为多租户集群方案中的一环,我们需要在namespace的准入控制中,获取用户信息,并将用户信息更新的namespace的annotation。只有当namespace中有有效用户信息时,我们才可以在namespace创建时,自动绑定用户权限,namespace才可用。准入控制通常有两种主要的目的,一个是你给了我request,这个request长的这个样子,是你填的所有的属性,但是我从平台的一个层面,我希望给它添加一些附加属性。......
掌握Kubernetes ImagePolicyWebhook准入控制器
资源摘要信息:"Kubernetes准入控制器(Admission Controller)是Kubernetes集群中的一个重要的安全组件,负责在对象被持久化到Etcd之前拦截并验证它们。准入控制器可以用来实施集群的策略,并且可以拒绝不符合策略的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

湫一刀

希望大家多多支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值