k8s 准入控制

 --admission-control-config-file

 

 

 

- --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook
- --admission-control-config-file=/etc/kubernetes/image-policy/admission_configuration.yml


- mountPath: /etc/kubernetes/image-policy
name: image-policy
readOnly: true

volumes:
- hostPath:
path: /etc/kubernetes/image-policy
type: Directory
name: image-policy

 

可以看到准入控制在持久化数据之前，在鉴权之后。

ImagePolicyWebhook：去验证镜像仓库地址是否符合规范，如果是外网的dockerhub上面的镜像地址，那么就拒绝了，只允许你走私有仓库去部署，来去规避外部镜像的风险，或者镜像符合某种格式才去帮你部署。

ImagePolicyWebhook优势：

如果无法连接Webhook端点，可以指示API服务器拒绝镜像，这非常方便，但是它也会带来问题，例如核心Pod无法调度。
ImagePolicyWebhook劣势：

配置涉及更多内容，并且需要访问主节点或apiserver配置，文档尚不明确，可能难以进行更改，更新等。
部署并不是那么简单，你需要使用systemd进行部署或将其作为docker容器在主机中运行，更新dns等。