Open Policy Agent Gatekeeper 突变功能深度解析
项目地址: https://gitcode.com/gh_mirrors/gat/gatekeeper 什么是突变功能
Open Policy Agent Gatekeeper 的突变功能(Mutation)是一个强大的特性,它允许在 Kubernetes 资源创建或更新请求时,根据自定义的突变策略自动修改这些资源。该功能从 Gatekeeper v3.10 版本开始稳定提供。
突变功能的核心概念
突变功能通过专门的 CRD(Custom Resource Definitions)来实现,这些 CRD 被称为突变器(Mutators),主要包括以下几种类型:
- AssignMetadata - 修改资源的元数据部分(仅限于标签和注解)
- Assign - 修改资源除元数据外的任何部分
- ModifySet - 在列表中添加或删除条目(如容器参数)
- AssignImage - 修改镜像字符串的组成部分
突变器结构解析
每个突变器 CRD 都包含三个主要部分:
1. 变更范围(Extent of Changes)
这部分定义了哪些资源会被修改,使用与约束(Constraints)相同的匹配标准。
applyTo:
- groups: [""]
kinds: ["Pod"]
versions: ["v1"]
match:
scope: Namespaced | Cluster
kinds:
- apiGroups: []
kinds: []
labelSelector: []
namespaces: []
namespaceSelector: []
excludedNamespaces: []
关键点:
AssignMetadata不需要applyTo字段applyTo不支持通配符- 匹配标准包括:作用域、资源类型、标签选择器、命名空间等
- 任何未定义的匹配条件都是包容性的(匹配任何对象)
2. 变更意图(Intent)
这部分指定了要修改的内容和值。
location: "spec.containers[name: foo].imagePullPolicy"
parameters:
assign:
value: "Always"
关键点:
location指定要修改的路径- 值可以是简单字符串或复合值
- 路径可以指定列表中的特定元素(如
spec.containers[name:foo]) - 支持通配符(如
spec.containers[name: *])
3. 变更条件(Conditionals)
这部分定义了应用突变的条件,主要是路径测试。
parameters:
pathTests:
- subPath: "spec.containers[name: foo]"
condition: MustExist
- subPath: "spec.containers[name: foo].securityContext.capabilities"
condition: MustNotExist
突变器类型详解
AssignMetadata 突变器
专门用于修改资源的元数据部分(仅限于标签和注解),不能修改现有的标签或注解。
示例:添加所有者标签
apiVersion: mutations.gatekeeper.sh/v1
kind: AssignMetadata
metadata:
name: demo-annotation-owner
spec:
match:
scope: Namespaced
location: "metadata.labels.owner"
parameters:
assign:
value: "admin"
ModifySet 突变器
用于在列表中添加或删除条目,操作方式类似集合操作。
示例:移除容器参数
apiVersion: mutations.gatekeeper.sh/v1
kind: ModifySet
metadata:
name: remove-err-logging
spec:
applyTo:
- groups: [""]
kinds: ["Pod"]
versions: ["v1"]
location: "spec.containers[name: *].args"
parameters:
operation: prune
values:
fromList:
- --alsologtostderr
AssignImage 突变器
专门用于修改镜像字符串的组成部分(域、路径和标签)。
示例:修改镜像标签
apiVersion: mutations.gatekeeper.sh/v1alpha1
kind: AssignImage
metadata:
name: assign-container-image
spec:
applyTo:
- groups: [ "" ]
kinds: [ "Pod" ]
versions: [ "v1" ]
location: "spec.containers[name:*].image"
parameters:
assignTag: "@sha256:abcde67890123456789abc345678901a"
实用示例
设置 Pod 安全上下文
apiVersion: mutations.gatekeeper.sh/v1
kind: Assign
metadata:
name: demo-privileged
spec:
applyTo:
- groups: [""]
kinds: ["Pod"]
versions: ["v1"]
match:
scope: Namespaced
namespaces: ["bar"]
location: "spec.containers[name:foo].securityContext.privileged"
parameters:
assign:
value: false
pathTests:
- subPath: "spec.containers[name:foo]"
condition: MustExist
添加 Sidecar 容器
apiVersion: mutations.gatekeeper.sh/v1
kind: Assign
metadata:
name: demo-sidecar
spec:
applyTo:
- groups: [""]
kinds: ["Pod"]
versions: ["v1"]
location: "spec.containers[name:networking]"
parameters:
assign:
value:
name: "networking"
imagePullPolicy: Always
image: quay.io/foo/bar:latest
command: ["/bin/bash", "-c", "sleep INF"]
修改 DNS 配置
apiVersion: mutations.gatekeeper.sh/v1
kind: Assign
metadata:
name: demo-dns-config
spec:
applyTo:
- groups: [""]
kinds: ["Pod"]
versions: ["v1"]
location: "spec.dnsConfig"
parameters:
assign:
value:
nameservers:
- 1.2.3.4
最佳实践
- 谨慎修改元数据:元数据修改可能产生连锁反应,应限制在必要的最小范围内
- 使用路径测试:确保突变只在预期条件下应用,避免意外修改
- 命名规范:为突变器使用清晰的命名,便于管理和维护
- 测试验证:在生产环境应用前,充分测试突变规则
- 文档记录:详细记录每个突变器的用途和影响范围
Gatekeeper 的突变功能为 Kubernetes 资源管理提供了强大的自动化能力,合理使用可以显著简化集群管理任务,但同时也需要谨慎操作以避免意外影响。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
