带你读《云原生应用开发 Operator原理与实践》第二章 Operator 原理2.3 Kube-APIServer 介绍(六)-阿里云开发者社区

开发者社区> 人民邮电出版社> 正文

带你读《云原生应用开发 Operator原理与实践》第二章 Operator 原理2.3 Kube-APIServer 介绍(六)

简介: 带你读《云原生应用开发 Operator原理与实践》第二章 Operator 原理2.3 Kube-APIServer 介绍(六)
+关注继续查看

2.3.4       准入控制

准入控制器是对象持久化之前插入的一段代码,在身份认证和鉴权步骤之后,拦截对KubernetesAPIServer的请求。它们以插件的形式运行在 APIServer中,作用分别是变更用户提交的资源对象信息、校验用户提交的资源对象信息,或者两者都有。

准入控制过程分为两个阶段:第一阶段,运行MutatingAdmission控制器;第二阶段,运行   ValidatingAdmission   控制器。如果任一阶段的任何控制器拒绝了该请求,则整个请求将立即被拒绝,并且将错误返回给最终用户。

APIServer 支持同时开启多个准入控制器的功能,通过   --enable-admission-plugins配置,如果开启了多个准入控制器,在运行时会按照顺序执行准入控制器。下面是几种常用的准入控制器。

(1)  AlwaysPullImages:此准入控制器会将 Pod 的拉取镜像策略强制修改成 Always,保护多租户集群中用户镜像。

(2)  PodNodeSelector:此准入控制器通过读取名称空间批注和全局配置来默认并限制在 Namespace中可以使用哪些节点选择器。

(3)  DefaultStorageClass:此准入控制器会为 PersistentVolumeClaim 对象添加默认的 StorageClass。

(4)  ExtendedResourceToleration:集群中如果有特殊硬件节点,为了避免不让不使用这些特殊硬件的 Pod 运行在这些节点上,一般会给节点打污点。Pod要想运行在这个节点上必须容忍污点,这个控制器会自动为 Pod配置容忍污点。

(5) EventRateLimit:此准入控制器限制 Event请求的速度,缓解了 APIServer的压力。 

(6)  ImagePolicyWebhook:通 过 WebHook决 定 Image策 略, 需 要 同 时 配 置--admission-control-config-file。

(7)  LimitPodHardAntiAffinityTopology:此准入控制器在 Pod亲和性和反亲和性中限制 Pod的 TopologyKey只能是 kubernetes.io/hostname,否则拒绝。

(8)  LimitRanger:此准入控制器会为 Pod设置默认资源请求和限制,要提前创建LimitRange对象。

(9)  MutatingAdmissionWebhook:此准入控制器会向WebHook服务器发送请求,用于变更用户提交的资源对象信息。

(10)   NamespaceAutoProvision:此准入控制器检查Namespace范围内资源的请求,如果不存在 Namespace,则需要创建。

(11)  NamespaceExists:此准入控制器检查 Namespace 范围内资源的请求,如果不存在 Namespace,那么拒绝请求。

(12)  NamespaceLifecycle:此准入控制器会禁止在一个正在被停止的Namespace中创建对象,并拒绝使用不存在的 Namespace的请求,它还会禁止删除 Default、Kube-system和Kube-public这 3个 Namespace。

(13)   NodeRestriction:此准入控制器会限制 Kubelet 只可以修改 Node和 Pod 对象。

(14)  OwnerReferencesPermissionEnforcement:此准入控制器保护对对象的metadata.ownerReferences的访问,只有对该对象具有“删除”权限的用户才能更改它。

(15)  PersistentVolumeClaimResize:此准入控制器会禁止修改 PersistentVolumeClaim的大小,除非在 StorageClass中设置了 allowVolumeExpansion为 True。

(16)   PodSecurityPolicy:此准入控制器在 Pod 创建和修改时起作用,并根据请求的安全上下文和可用的Pod安全策略确定是否拒绝 Pod。

(17)  ResourceQuota:此准入控制器将观察传入的请 求,并确保它不违反Namespace中 ResourceQuota对象中枚举的任何约束。 如果在 Kubernetes部署中使用ResourceQuota对象,则必须使用此准入控制器来实施配额约束。

(18)   ServiceAccount:此准入控制器实现 ServiceAccounts 的自动化。

(19)   StorageObjectInUseProtection:此准入控制器会保护正在使用的PV和 PVC不被删除。

(20)   TaintNodesByCondition:此准入控制器将新创建的 Node标记为 NotReady和NoSchedule

(21)  ValidatingAdmissionWebhook:此准入控制器使用 WebHook验证请求和用户提交资源的信息。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
浅析阿里云API网关的产品架构和常见应用场景
API 网关提供完整的 API 托管服务,辅助用户将能力、服务、数据以 API 的形式开放给合作伙伴,也可以发布到 API 市场供更多的开发者采购使用。
7585 0
【译】Databricks使用Spark Streaming和Delta Lake对流式数据进行数据质量监控介绍
本文主要对Databricks如何使用Spark Streaming和Delta Lake对流式数据进行数据质量监控的方法和架构进行了介绍,本文探讨了一种数据管理架构,该架构可以在数据到达时,通过主动监控和分析来检测流式数据中损坏或不良的数据,并且不会造成瓶颈。
1085 0
SpringCloud迁移至EDAS微服务——Series1:组件介绍及迁移
SpringCloud迁移至EDAS微服务——Series1:组件介绍及迁移
1747 0
Elasticsearch Top5典型应用场景
题记 刚接触Elasticsearch的朋友,或多或少会遇到一个问题,Elasticsearch在实际公司应用中除了搜索到底能做什么? 本文给出了答案。 除了“You Know, for Search”,Elasticsearch的使用会不断增长和变化。ObjectRocket作为一家托管云计算公司,已经在ObjectRocket平台上提供托管Elasticsearch一段时间了,并且能够看到我们客户之间的一些明确趋势以及他们如何使用该产品。以下是我们在平台上看到的Top5场景用例:
7 0
GraphScope 图分析引擎 - GRAPE 介绍
GraphScope 中的图分析引擎继承自 GRAPE,该系统实现了论文 Parallelizing Sequential Graph Computations 中提出的不动点计算模型
172 0
472
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载