简述Kubernetes准入机制

在对集群进行请求时,每个准入控制代码都按照一定顺序执行。

如果有一个准入控制拒绝了此次请求,那么整个请求的结果将会立即返回,并提示用户相应的error信息,准入控制(AdmissionControl)准入控制本质上为一段准入代码,在对kubernetes api的请求过程中,顺序为:先经过认证 & 授权,然后执行准入操作,最后对目标对象进行操作。

常用组件(控制代码)如下:

AlwaysAdmit:允许所有请求;

AlwaysDeny:禁止所有请求,多用于测试环境;

ServiceAccount:它将serviceAccounts实现了自动化,它会辅助serviceAccount做一些事情,比如如果pod没有serviceAccount属性,它会自动添加一个default,并确保pod的serviceAccount始终存在;

LimitRanger:观察所有的请求,确保没有违反已经定义好的约束条件,这些条件定义在namespace中LimitRange对象中;

NamespaceExists:观察所有的请求,如果请求尝试创建一个不存在的namespace,则这个请求被拒绝;

posted @ 2024-03-11 17:19  Mr.peter  阅读(6)  评论(0编辑  收藏  举报