Kubernets——准入控制器(LimitRange、ResourceQuota 和 PSP)

准入控制器(LimitRange、ResourceQuota 和 PSP)

  在经由认证插件和授权插件分别完成身份认证和权限检查之后,准入控制器将拦截那些创建、更新和删除相关的操作请求以强制实现控制器中定义的功能,包括执行对象的语义验证、设置缺失字段的默认值、限制所有容器使用的镜像文件必须来自某个特定的 Registry、检查 Pod 对象的资源需求是否超出了指定的限制范围等。

  对于在数据持久化以前,拦截到 Kubernetes API server 的请求,Admission controllers 是很是有用的工具。然而,因为其须要由集群管理员在 kube-apiserver 中编译成二进制文件,因此使用起来不是很灵活。从 Kubernetes 1.7 起,引入了 Initializers 和 External Admission Webhooks,用以解决这个问题。在 Kubernetes 1.9 中,Initializers 依然停留在 alpha 版本,然而 External Admission Webhooks 被提高到了 beta 版,且被分红了 MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook。linux

  MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook 两者合起来就是一个特殊类型的 admission controllers,一个处理资源更改,一个处理验证。验证是经过匹配到 MutatingWebhookConfiguration 中定义的规则完成的。

  在运行时,以下任何一阶段中的任何控制器拒绝请求,则立即拒绝整个请求,并向用户返回错误。准入控制可分为两个阶段:

    • 第一阶段,串行运行各 MutatingAdmissionWebhook。
    • 第二阶段,串行运行各 ValidatingAdmissionWebhook。

一、LimitRange资源与LimitRanger准入控制器

  LimitRange 资源在每个名称空间指定最小及最大计算资源用量,甚至是设置默认的计算资源需求和计算资源限制。

  在名称空间上定义了 LimitRange 对象之后,客户端提交创建或修改的资源对象将受到 LimitRanger 控制器的检查,任何违反 LimitRange 对象定义的资源最大用量的请求将被直接拒绝。

  LimitRange 资源支持限制 容器、Pod 和 PVC 三种资源对象的系统资源用量。LimitRange.spec.limits 字段嵌套定义如下:

[root@k8s-master01-test-2-26 pki]# kubectl explain LimitRange.spec.limits
KIND:     LimitRange
VERSION:  v1

RESOURCE: limits <[]Object>

DESCRIPTION:
     Limits is the list of LimitRangeItem objects that are enforced.

     LimitRangeItem defines a min/max usage limit for any resource that matches
     on kind.

FIELDS:
   default	<map[string]string>
     Default resource requirement limit value by resource name if resource limit
     is omitted.

   defaultRequest	<map[string]string>
     DefaultRequest is the default resource requirement request value by
     resource name if resource request is omitted.

   max	<map[string]string>
     Max usage constraints on this kind by resource name.

   maxLimitRequestRatio	<map[string]string>
     MaxLimitRequestRatio if specified, the named resource must have a request
     and limit that are both non-zero where limit divided by request is less
     than or equal to the enumerated value; this represents the max burst for
     the named resource.

   min	<map[string]string>
     Min usage constraints on this kind by resource name.

   type	<string> -required-
     Type of resource that this limit applies to.

[root@k8s-master01-test-2-26 pki]# 

  下面我们举个示例,以容器的 CPU 资源为例,default 用于定义默认的资源限制,defaultRequest 定义默认的资源需求,min 定义最小的资源用量,而最大的资源用量既可以使用 max 给出固定值,也可以使用 maxLimitRequestRatio 设定为最小值的指定倍数:

apiVersion: v1
kind: LimitRange
metadata:
  name: cpu-limit-range
spec:
  limits:
  - default:
      cpu: 1000m
	defaultRequest:
	  cpu: 1000m
	min:
	  cpu: 500m
	max:
	  cpu: 2000m
	maxLimitRequestRatio:
	  cpu: 4
	type: Container

  将配置清单中的资源创建于集群的 default 名称空间之中了。

 二、ResourceQuota 资源与准入控制器

  LimitRange 资源能限制单个容器、Pod 及 PVC 等相关计算资源或存储资源的用量,但用户依然可以创建数量众多的此类资源,最终导致资源耗尽。那有什么办法可以限制呢?Kubernetes 提供了 ResourceQuota 资源用于定义名称空间的对象数量或系统资源配额。

  ResourceQuota 支持限制每种资源类型的对象总数,以及所有对象所能消耗的计算资源及存储资源总量等。ResourceQuota 准入控制器负责观察传入的请求,并确保它没有违反相应名称空间中 ResourceQuota 对象定义的任何约束。

  ResourceQuota 的字段嵌套定义如下:

[root@k8s-master01-test-2-26 pki]#  kubectl explain resourcequota
KIND:     ResourceQuota
VERSION:  v1

DESCRIPTION:
     ResourceQuota sets aggregate quota restrictions enforced per namespace

FIELDS:
   apiVersion	<string>
     APIVersion defines the versioned schema of this representation of an
     object. Servers should convert recognized schemas to the latest internal
     value, and may reject unrecognized values. More info:
     https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources

   kind	<string>
     Kind is a string value representing the REST resource this object
     represents. Servers may infer this from the endpoint the client submits
     requests to. Cannot be updated. In CamelCase. More info:
     https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds

   metadata	<Object>
     Standard object's metadata. More info:
     https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

   spec	<Object>
     Spec defines the desired quota.
     https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status

   status	<Object>
     Status defines the actual enforced quota and its current usage.
     https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status

[root@k8s-master01-test-2-26 pki]# 

  resourcequota.spec 字段嵌套定义如下:

[root@k8s-master01-test-2-26 pki]#  kubectl explain resourcequota.spec
KIND:     ResourceQuota
VERSION:  v1

RESOURCE: spec <Object>

DESCRIPTION:
     Spec defines the desired quota.
     https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#spec-and-status

     ResourceQuotaSpec defines the desired hard limits to enforce for Quota.

FIELDS:
   hard	<map[string]string>
     hard is the set of desired hard limits for each named resource. More info:
     https://kubernetes.io/docs/concepts/policy/resource-quotas/

   scopeSelector	<Object>
     scopeSelector is also a collection of filters like scopes that must match
     each object tracked by a quota but expressed using ScopeSelectorOperator in
     combination with possible values. For a resource to match, both scopes AND
     scopeSelector (if specified in spec), must be matched.

   scopes	<[]string>
     A collection of filters that must match each object tracked by a quota. If
     not specified, the quota matches all objects.

[root@k8s-master01-test-2-26 pki]# 

  下面的配置清单示例定义一个 ResourceQuota 资源对象,它配置了计算资源、存储资源及对象技术几个纬度的限额:

apiVersion: v1
kind: ResourceQuota
metadata:
  name: quota-example
spec:
  hard:
    pods: "5"
	requests.cpu: "1"
	requests.memory: "1Gi"
	limits.cpu: "2"
	limits.memory: "2Gi"
	count/deployments.apps: "1"
	count/deployments.extensions: "1"
	persistentvolumeclaims: "2"

  ResourceQuota 对象创建之后,只会对之后创建的资源对象有效,对于已经存在的对象不会产生任何限制。

 三、PodSecurityPolicy

  PodSecurityPolicy(简称 PSP)是集群级别的资源类型,用于控制用户在配置 Pod 资源的期望状态时可以设定的特权类的属性,例如:是否可以使用特权容器、命名空间、主机文件系统,以及可使用主机网络和端口、卷类型和 Linux Capabilites 等。

  PSP 对象定的策略本身并不会直接发生作用,它们需要经由 PodSecurityPolicy 准入控制器检查并强制生效。

  PSP 准入控制器默认是出于未启用状态,原因是在未创建任何 PSP 对象的情况下启用此准入控制器将组织在集群中创建任何 Pod 对象,因此管理员可以事先定义好所需要的 Pod 安全策略,再设置 kube-apiserver 启用 PSP 准入控制器。

 启用 PSP 准入控制器后,若是要部署任何 Pod 对象,则相关的 User Account 及 Service Account 必须全部获得了恰当的 Pod 安全策略授权。不然希望创建 Pod 资源对象,但不存在任何策略支持创建 Pod 对象时,则会拒绝相关的操作。

  即使是在启用了 PSP 准入控制器的情况下创建的 PSP 对象也依然不会发生效用,而是要由授权插件(如 RBAC)将 "use" 操作权限授权给特定的 Role 或 ClusterRole,而后将 Use Account 或 Service Account 完成角色绑定才行。

  这里我们就不细说了,原因如下:

[root@k8s-master01-test-2-26 pki]# kubectl get podsecuritypolicy
Warning: policy/v1beta1 PodSecurityPolicy is deprecated in v1.21+, unavailable in v1.25+
No resources found
[root@k8s-master01-test-2-26 pki]# 
posted @ 2022-07-03 19:55  左扬  阅读(189)  评论(0编辑  收藏  举报
levels of contents