带你读《云原生应用开发：Operator原理与实践》——2.3.4　准入控制

2.3.4　准入控制

准入控制器是对象持久化之前插入的一段代码，在身份认证和鉴权步骤之后，拦截对Kubernetes APIServer 的请求。它们以插件的形式运行在 APIServer 中，作用分别是变更用户提交的资源对象信息、校验用户提交的资源对象信息，或者两者都有。

准入控制过程分为两个阶段：第一阶段，运行 MutatingAdmission 控制器；第二阶段，运行 ValidatingAdmission 控制器。如果任一阶段的任何控制器拒绝了该请求，则整个请求将立即被拒绝，并且将错误返回给最终用户。

APIServer 支持同时开启多个准入控制器的功能，通过 --enable-admission-plugins配置，如果开启了多个准入控制器，在运行时会按照顺序执行准入控制器。下面是几种常用的准入控制器。

（1）AlwaysPullImages：此准入控制器会将 Pod 的拉取镜像策略强制修改成 Always，保护多租户集群中用户镜像。

（2）PodNodeSelector：此准入控制器通过读取名称空间批注和全局配置来默认并限制在 Namespace 中可以使用哪些节点选择器。

（3）DefaultStorageClass：此准入控制器会为 PersistentVolumeClaim 对象添加默认的 Storage Class。

（4）ExtendedResourceToleration：集群中如果有特殊硬件节点，为了避免不让不使用这些特殊硬件的 Pod 运行在这些节点上，一般会给节点打污点。Pod 要想运行在这个节点上必须容忍污点，这个控制器会自动为 Pod 配置容忍污点。

（5）EventRateLimit：此准入控制器限制 Event 请求的速度，缓解了 APIServer 的压力。

（6）ImagePolicyWebhook：通 过 WebHook 决 定 Image 策 略， 需 要 同 时 配 置 --admission-control-config-file。

（7）LimitPodHardAntiAffinityTopology：此准入控制器在 Pod 亲和性和反亲和性中限制 Pod 的 TopologyKey 只能是 kubernetes.io/hostname，否则拒绝。

（8）LimitRanger：此准入控制器会为 Pod 设置默认资源请求和限制，要提前创建LimitRange 对象。

（9）MutatingAdmissionWebhook：此准入控制器会向 WebHook 服务器发送请求，用于变更用户提交的资源对象信息。

（10）NamespaceAutoProvision：此准入控制器检查 Namespace 范围内资源的请求，如果不存在 Namespace，则需要创建。

（11）NamespaceExists：此准入控制器检查 Namespace 范围内资源的请求，如果不存在 Namespace，那么拒绝请求。

（12）NamespaceLifecycle：此准入控制器会禁止在一个正在被停止的 Namespace 中创建对象，并拒绝使用不存在的 Namespace 的请求，它还会禁止删除 Default、Kubesystem 和 Kube-public 这 3 个 Namespace。

（13）NodeRestriction：此准入控制器会限制 Kubelet 只可以修改 Node 和 Pod 对象。

（14）OwnerReferencesPermissionEnforcement：此准入控制器保护对对象的 metadata.ownerReferences 的访问，只有对该对象具有“删除”权限的用户才能更改它。

（15）PersistentVolumeClaimResize：此准入控制器会禁止修改 PersistentVolumeClaim的大小，除非在 StorageClass 中设置了 allowVolumeExpansion 为 True。

（16）PodSecurityPolicy：此准入控制器在 Pod 创建和修改时起作用，并根据请求的安全上下文和可用的 Pod 安全策略确定是否拒绝 Pod。

（17）ResourceQuota：此 准 入 控 制 器 将 观 察 传 入 的 请 求， 并 确 保 它 不 违 反Namespace 中 ResourceQuota 对象中枚举的任何约束。 如果在 Kubernetes 部署中使用ResourceQuota 对象，则必须使用此准入控制器来实施配额约束。

（18）ServiceAccount：此准入控制器实现 ServiceAccounts 的自动化。

（19）StorageObjectInUseProtection：此准入控制器会保护正在使用的 PV 和 PVC 不被删除。

（20）TaintNodesByCondition：此准入控制器将新创建的 Node 标记为 NotReady 和NoSche dule。

（21） ValidatingAdmissionWebhook：此准入控制器使用 WebHook 验证请求和用户提交资源的信息。