云原生之Kubernetes:18、详解准入控制器

最新推荐文章于 2024-05-31 00:27:42 发布
最新推荐文章于 2024-05-31 00:27:42 发布
阅读量597 收藏 2
点赞数 1
分类专栏: # Kubernetes 云原生 文章标签: 云原生 kubernetes 容器
LQ@fenglq.com
本文链接:https://blog.youkuaiyun.com/flq18210105507/article/details/126665560
版权
本文介绍了Kubernetes准入控制器的作用,包括身份验证、授权与资源管理,详细讲解了AlwaysPullImages、LimitRanger、ResourceQuota和PodSecurityPolicy等常见控制器的启用、关闭方法,并通过实战演示资源配额和安全策略的设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

Admission Controller准入控制器作为把守kubernetes系统安全的最后一道关卡,对已知且有权限用户的操作合规性验证是缺一不可的!

1、什么是准入控制器?

准入控制器(Admission Controller)位于API Server中,在对象被持久化之前,准入控制器拦截对API Server的请求,一般用来做身份验证和授权。

其中包含两个特殊的控制器钩子:

MutatingAdmissionWebhook和ValidatingAdmissionWebhook

1、变更(Mutating)准入控制

工作逻辑为修改请求的对象

2、验证(Validating)准入控制

工作逻辑为验证请求的对象

上面的两种控制器可以分而治之,也能合作运行!

2、为什么我们需要它?

就像我在上一章节提到的那样,准入控制器的引入可以很好的帮助我们运维人员,站在一个集群管理者的角度,去“限定”和规划集群资源的合理利用策略和期望状态。

同时,很多kubernetes的高级功能,也是基于准入控制器之上进行建设的。

3、常用的准入控制器

1、AlwaysPullImages

总是拉取镜像;

好处:可以避免本地系统处于非安全状态时,被别人恶意篡改了本地的容器镜像

2、LimitRanger

此准入控制器将确保所有资源请求不会超过namespace级别的LimitRange(定义Pod级别的资源限额,如cpu、mem)

3、ResourceQuota

此准入控制器负责集群的计算资源配额,并确保用户不违反命名空间的ResourceQuota对象中列举的任何约束
(定义名称空间级别的配额,如pod数量)

4、PodSecurityPolicy

此准入控制器用于创建和修改pod,
并根据请求的安全上下文和可用的Pod安全策略确定是否应该允许它。

4、如何开启准入控制器

在kubernetes环境中,你可以使用kube-apiserver命令结合enable-admission-plugins的flag,后面需要跟上以逗号分割的准入控制器清单,如下所示:

kube-apiserver --enable-admission-plugins=NamespaceLifecycle,LimitRanger …

最低0.47元/天 解锁文章
云原生Kubernetes入门详细讲解
dvlinker的技术专栏
07-29 3051
本文详细讲述Kubernetes的基础概念、技术架构、集群架构、集群组件等多方面内容。
云原生Kubernetes:17.详解Apiserver和RBAC
LQ的博客
09-01 413
详解Apiserver和RBAC!
浅识k8s中的准入控制器
weixin_40418457的博客
07-04 1733
背景 在 k8s中各组件和kube apiserver通信时的认证和鉴权 中提到"NodeRestriction准入插件",实际上它是一个"准入控制器"。 "准入控制器"是一个重要的概念,在istio、apisix、某些安全产品中都有用到。 本文简要记录一下以下内容: "准入控制器"是什么 怎么开启"准入控制器" 从源码浅析"准入控制器" 本文使用的k8s集群是用kubekey搭建,
18.准入控制器
LQ的博客
10-22 388
18.准入控制器 Admission Controller准入控制器作为把手kubernetes系统安全的最后一道关卡,对已知且有权限用户的操作合规性验证是缺一不可的! 1.什么是准入控制器准入控制器(Admission Controller)位于API Server中,在对象被持久化之前,准入控制器拦截对API Server的请求,一般用来做身份验证和授权。 其中包含两个特殊的控制器钩子: MutatingAdmissionWebhook和ValidatingAdmissionWebhook 1
kubernetes视频教程笔记 (32)-安全-准入控制Admission Control
软件工程小施同学 的专栏
12-15 418
准入控制 准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是: NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSe.
Kubernetes 准入控制器
RayPick的博客
05-26 1281
简而言之,Kubernetes 准入控制器是管理和强制定义集群使用方式的插件。可以将它们看作拦截(经过认证的)API 请求的守门员,可以更改请求对象或完全拒绝请求。准入控制的过程分为两步:先变异(mutate)后验证(validate)。举个例子,LimitRanger 准入控制器在变异阶段使用默认的资源配置来限制容器对资源的使用,并在验证阶段确保容器的资源限制不超过预期的。值得一提的是,许多用户认为内置的 Kubernetes 操作的某些方面实际上由准入控制器管理。
Kubernetes(二十)准入控制器
wzj_110的博客
11-30 410
一 官网 (1)什么是准入控制器? -->'重要' (2)为什么需要准入控制器? -->'重要' (3)如何启用一个准入控制器? -->'重要' (4)怎么关闭准入控制器? (5)哪些插件是默认启用的? -->'知道' (6)每个'准入控制器的作用'是什么? -->'了解核心' 二 进入主题 (1)准入控制器的概念 准入控制器的种类 准入控制器是'一段代码',它会在'请求'通过'认证和授权'之后、'对象被持久化之前'-->'拦截'到达 A...
云原生Kubernetes:23、topologyKey详解
LQ的博客
09-14 2100
高级调度机制之topologyKey详解
云原生Kubernetes----PersistentVolume(PV)与PersistentVolumeClaim(PVC)详解
最新发布
wyq2070857323的博客
05-31 1028
存储卷是Kubernetes中的一个重要概念,它为容器提供了持久化存储或其他类型的存储的能力。Pod中的容器可以通过存储卷来访问文件系统,存储数据。存储卷的类型有很多,如等。这些存储卷类型都有其特定的用途和限制emptyDir是Kubernetes中一种最简单的存储卷类型,其生命周期与Pod相同。当Pod被分配给某个节点时,会为该Pod创建一个emptyDir卷,并且只要Pod在该节点上运行,卷就一直存在。一旦Pod被删除,emptyDir卷中的数据也会被永久删除定义。
Kubernetes 准入控制器详解
weixin_44100171的博客
02-04 752
**Kubernetes 控制平面由几个组件组成。其中一个组件是 kube-apiserver,简单的 API server。**它公开了一个 REST 端点,用户、集群组件以及客户端应用程序可以通过该端点与集群进行通信。总的来说,它会进行以下操作: 从客户端应用程序(如 kubectl)接收标准 HTTP 请求。 验证传入请求并应用授权策略。 在成功的身份验证中,它能根据端点对象(Pod、Deployments、Namespace 等)和 http 动作(Create、Put、Get、Dele
Kubernetes准入控制
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
03-07 448
一、什么是K8S之准入控制 就是在创建资源经过身份验证之后,kube-apiserver在数据写入etcd之前做一次拦截,然后对资源进行更改、判断正确性等操作。 一个LimitRange(限制范围)对象提供的限制能够做到: 在一个命名空间中实施对每个 Pod 或 Container 最小和最大的资源使用量的限制。 在一个命名空间中实施对每个 PersistentVolumeClaim 能申请的最小和最大的存储空间大小的限制。 在一个命名空间中实施对一种资源的申请值和限制值的比值的控制。..
Kubernetes运维篇】RBAC之准入控制器详解
秦子腾
07-16 6373
如果我们在创建Pod定义了资源上下限,但不满足LimitRanger规则中定义的资源上下限,此时LimitRanger会拒绝创建Pod资源,如果创建Pod时没有指定资源上下限,默认会使用LimitRanger规则中的资源上下限制。强制执行资源限制:LimitRanger可以确保Pod或容器只使用指定的资源限制,通过对Pod的准入控制来强制执行这些限制。通过设置配额限制,可以控制每个命名空间可用的资源总量,以及每个命名空间中每种资源的使用情况。,防止在一个名称空间下的Pod占用过多的资源,
kubernetes API 访问控制之:准入控制
看,未来的博客
06-02 815
可以使用kubectl、客户端库方式对REST API的访问,Kubernetes的普通账户和Service帐户都可以实现授权访问API。API的请求会经过多个阶段的访问控制才会被接受处理,其中包含认证、授权以及准入控制(Admission Control)等。如下图所示: 需要注意:认证授权过程只存在HTTPS形式的API中。也就是说,如果客户端使用HTTP连接到kube-apiserver,是不会进行认证授权的。所以说,可以这么设置,在集群内部组件间通信使用HTTP,集群外部就使用HTTPS,这样既增加
准入控制器 修改_Kubernetes准入控制器指南
编程故事的地方
06-30 881
准入控制器 修改 Kubernetes支持30多个准入控制器。 在授权和身份验证之后 , 准入控制器是三步过程的最后一步,之前Kubernetes将资源etcd在etcd (一个一致且高度可用的键值存储,用作所有集群数据的Kubernetes的后备存储)。 一些有关确保运行中的容器安全的准入控制器是: PodSecurityPolicy:此选项基于安全上下文和可用策略来实现Pod接纳。 ...
Kubernetes认证和准入控制
qq42004的博客
04-13 1018
让一个用户(Users)扮演一个角色(Role),角色拥有权限,从而让用户拥有这样的权限,随后在授权机制当中,只需要将权限授予某个角色,此时用户将获取对应角色的权限,从而实现角色的访问控制。当采用RBAC的方式进行授权时,把对对象(k8s的资源一类)的操作权限定义到一个角色当中,再将用户绑定到该角色,从而使用户得到对应角色的权限。如果是通过rolebinding绑定role,只能对rolebingding所在的名称空间的资源有权限,属于名称空间级别的。
Kubernetes 准入控制
RAB
11-07 328
Kubernetes 准入控制 - LimitRange/StorageQuota。
Admission(准入控制器)-2021.12.05
weixin_39246554的博客
12-05 1338
目录 文章目录目录实验环境实验软件1、准入控制器2、admission webhook 是什么3、创建配置一个 Admission Webhook1.编写 webhook2.构建3.部署4、配置 webhook5、测试6、部署 mutating webhook关于我最后 实验环境 实验环境: 1、win10,vmwrokstation虚机; 2、k8s集群:3台centos7.6 1810虚机,1个master节点,2个node节点 k8s version:v1.22.2 containerd.
Kubernetes准入控制器指南
weixin_44100234的博客
03-25 914
Kubernetes准入控制器指南 作者:Malte Isberner(StackRox) Kubernetes极大地提高了当今生产中后端群集的速度和可管理性。由于其灵活性、可扩展性和易用性,Kubernetes已成为容器编排器的事实标准。Kubernetes也提供一系列保护生产工作负载的功能。安全功能的最新引入是一组称为“准入控制器”的插件。必须启用准入控制器才能使用Kubernetes的一...
准入控制器: Admission Webhook
qq_36270681的博客
01-22 1457
Admission Webhook:准入控制器Webhook是准入控制插件的一种,用于拦截所有向APISERVER发送的 请求,并且可以修改请求或拒绝请求。 Admission webhook为开发者提供了非常灵活的插件模式,在kubernetes资源持久化之前,管理员通过程序 可以对指定资源做校验、修改等操作。例如为资源自动打标签、pod设置默认SA,自动注入sidecar容器等。 相关Webhook准入控制器: • MutatingAdmissionWebhook:修改资源,理论上可
Kubernetes实战:微服务与Service详解
当客户端尝试访问应用时,服务端会执行多重安全防护,包括身份认证、授权和准入控制。认证是验证用户身份的过程,确保只有合法的用户能访问系统。Kubernetes提供了多种认证机制,如X509证书、ServiceAccount和Token...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

湫一刀

希望大家多多支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值