k8s安全 认证 鉴权 准入控制之四:准入控制
系列文章链接k8s安全 认证 鉴权 准入控制之一:认证(Authentication)k8s安全 认证 鉴权 准入控制之二:授权(Authorization)k8s安全 认证 鉴权 准入控制之三:实践k8s安全 认证 鉴权 准入控制之四:准入控制准入控制认证插件和授权插件完成身份认证和权限检查之后,准入控制器将拦截那些创建、更新和删除的相关操作请求以强制实现控制器中实现的功能。准入控制是API S
·
系列文章链接
- k8s安全 认证 鉴权 准入控制之一:认证(Authentication)
- k8s安全 认证 鉴权 准入控制之二:授权(Authorization)
- k8s安全 认证 鉴权 准入控制之三:实践
- k8s安全 认证 鉴权 准入控制之四:准入控制
准入控制
认证插件和授权插件完成身份认证和权限检查之后,准入控制器将拦截那些创建、更新和删除的相关操作请求以强制实现控制器中实现的功能。
准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主 要的功能都需要通过 Admission Controllers 实现,比如 ServiceAccount 官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的 1.14 的推荐列表是:
NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota
列举几个插件的功能:
- NamespaceLifecycle: 防止在不存在的 namespace 上创建对象,防止删除系统预置 namespace,删除 namespace 时,连带删除它的所有资源对象。
- LimitRanger:确保请求的资源不会超过资源所在 Namespace 的 LimitRange 的限制。
- ServiceAccount: 实现了自动化添加 ServiceAccount。
- ResourceQuota:确保请求的资源不会超过资源的 ResourceQuota 限制。
K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容
更多推荐
0
0- 0
已为社区贡献10条内容
所有评论(0)