2.3.4 准入控制
准入控制器是对象持久化之前插入的一段代码,在身份认证和鉴权步骤之后,拦截对KubernetesAPIServer的请求。它们以插件的形式运行在 APIServer中,作用分别是变更用户提交的资源对象信息、校验用户提交的资源对象信息,或者两者都有。
准入控制过程分为两个阶段:第一阶段,运行MutatingAdmission控制器;第二阶段,运行 ValidatingAdmission 控制器。如果任一阶段的任何控制器拒绝了该请求,则整个请求将立即被拒绝,并且将错误返回给最终用户。
APIServer 支持同时开启多个准入控制器的功能,通过 --enable-admission-plugins配置,如果开启了多个准入控制器,在运行时会按照顺序执行准入控制器。下面是几种常用的准入控制器。
(1) AlwaysPullImages:此准入控制器会将 Pod 的拉取镜像策略强制修改成 Always,保护多租户集群中用户镜像。
(2) PodNodeSelector:此准入控制器通过读取名称空间批注和全局配置来默认并限制在 Namespace中可以使用哪些节点选择器。
(3) DefaultStorageClass:此准入控制器会为 PersistentVolumeClaim 对象添加默认的 StorageClass。
(4) ExtendedResourceToleration:集群中如果有特殊硬件节点,为了避免不让不使用这些特殊硬件的 Pod 运行在这些节点上,一般会给节点打污点。Pod要想运行在这个节点上必须容忍污点,这个控制器会自动为 Pod配置容忍污点。
(5) EventRateLimit:此准入控制器限制 Event请求的速度,缓解了 APIServer的压力。
(6) ImagePolicyWebhook:通 过 WebHook决 定 Image策 略, 需 要 同 时 配 置--admission-control-config-file。
(7) LimitPodHardAntiAffinityTopology:此准入控制器在 Pod亲和性和反亲和性中限制 Pod的 TopologyKey只能是 kubernetes.io/hostname,否则拒绝。
(8) LimitRanger:此准入控制器会为 Pod设置默认资源请求和限制,要提前创建LimitRange对象。
(9) MutatingAdmissionWebhook:此准入控制器会向WebHook服务器发送请求,用于变更用户提交的资源对象信息。
(10) NamespaceAutoProvision:此准入控制器检查Namespace范围内资源的请求,如果不存在 Namespace,则需要创建。
(11) NamespaceExists:此准入控制器检查 Namespace 范围内资源的请求,如果不存在 Namespace,那么拒绝请求。
(12) NamespaceLifecycle:此准入控制器会禁止在一个正在被停止的Namespace中创建对象,并拒绝使用不存在的 Namespace的请求,它还会禁止删除 Default、Kube-system和Kube-public这 3个 Namespace。
(13) NodeRestriction:此准入控制器会限制 Kubelet 只可以修改 Node和 Pod 对象。
(14) OwnerReferencesPermissionEnforcement:此准入控制器保护对对象的metadata.ownerReferences的访问,只有对该对象具有“删除”权限的用户才能更改它。
(15) PersistentVolumeClaimResize:此准入控制器会禁止修改 PersistentVolumeClaim的大小,除非在 StorageClass中设置了 allowVolumeExpansion为 True。
(16) PodSecurityPolicy:此准入控制器在 Pod 创建和修改时起作用,并根据请求的安全上下文和可用的Pod安全策略确定是否拒绝 Pod。
(17) ResourceQuota:此准入控制器将观察传入的请 求,并确保它不违反Namespace中 ResourceQuota对象中枚举的任何约束。 如果在 Kubernetes部署中使用ResourceQuota对象,则必须使用此准入控制器来实施配额约束。
(18) ServiceAccount:此准入控制器实现 ServiceAccounts 的自动化。
(19) StorageObjectInUseProtection:此准入控制器会保护正在使用的PV和 PVC不被删除。
(20) TaintNodesByCondition:此准入控制器将新创建的 Node标记为 NotReady和NoSchedule。
(21) ValidatingAdmissionWebhook:此准入控制器使用 WebHook验证请求和用户提交资源的信息。
