当前位置:
  1. 首页
  2. 八股文_DevOps
  3. 八股文_Kubernetes
  4. 正文

简述Kubernetes准入机制?

八股文_Kubernetes 0 14

参考回答

Kubernetes 的准入控制机制(Admission Control)是 Kubernetes 集群中一种用于验证和修改请求的机制,位于 API 服务器的处理请求和执行操作之间。准入控制机制的主要目的是确保所有进入集群的操作符合预定义的安全、合规和策略要求。

Kubernetes 中的准入控制分为两类:
1. 准入控制器(Admission Controllers):这些是 Kubernetes 中的插件,负责在 API 请求进入集群时对请求进行拦截和处理。它们会根据定义的策略对资源进行校验、修改或拒绝。
2. 准入控制阶段:准入控制是 API 请求生命周期的中间阶段,通常发生在 API 请求经过身份验证和授权后,但在资源创建、更新或删除之前。

常见的准入控制器:

  1. AlwaysPullImages
    • 确保每次 Pod 创建时都从镜像仓库拉取镜像,而不是使用缓存的镜像。这样可以确保每次运行的容器都是最新的镜像版本。
  2. NamespaceLifecycle
    • 确保所有资源只能创建在已存在的命名空间中,防止在已删除的命名空间中创建资源。
  3. LimitRanger
    • 控制 Pod 和容器的资源限制。通过这个控制器,可以为 Pod 设置 CPU 和内存的限制,避免资源过度消耗。
  4. PodSecurityPolicy(PSP,已弃用,替代品为 Pod Security Standards):
    • 确保 Pod 在创建时遵循安全性策略,如不允许特权容器运行、不允许使用 root 权限等。
  5. ResourceQuota
    • 确保集群资源不会过度使用。该控制器能够限制在某个命名空间内可以使用的资源(如 CPU、内存等)的最大数量。
  6. DenyEscalatingExec
    • 防止 Pod 中的容器以特权模式运行命令或执行提升权限的操作。

详细讲解与拓展

1. 准入控制器的工作原理

当一个请求进入 Kubernetes API 服务器时,首先会经过身份验证授权阶段,确保请求的来源是合法的、并且该请求有权限操作指定的资源。之后,准入控制器会处理请求。每个准入控制器都有自己独特的职责。

准入控制器的主要任务是:
验证:检查请求是否符合一定的规则,如是否有合法的资源、是否符合命名规范、是否符合安全要求等。
修改:准入控制器可以修改请求,确保其符合集群的要求。例如,它可以自动为 Pod 设置资源限制,或者为每个容器分配资源。
拒绝:如果请求不符合规范,准入控制器可以直接拒绝请求。这样可以防止错误的、恶意的或不合规的资源被创建。

2. 准入控制器的执行顺序

Kubernetes 的准入控制器是按顺序执行的,顺序是非常重要的。请求会经过一系列的准入控制器进行处理,每个控制器可以根据自身规则修改请求。控制器的顺序是可以在 API 服务器的启动参数中配置的。默认情况下,常见的准入控制器按以下顺序执行:

  1. NamespaceLifecycle:确保资源在有效的命名空间内创建。
  2. LimitRanger:确保 Pod 和容器设置合理的资源限制。
  3. ServiceAccount:为 Pod 自动分配 ServiceAccount。
  4. DefaultStorageClass:为没有指定存储类的 PVC 自动分配默认存储类。
  5. PodSecurityPolicy(如果启用):对 Pod 的安全性进行检查。

3. 常见的准入控制器详细说明

  • NamespaceLifecycle:这个控制器会确保请求的资源所引用的命名空间是有效的。如果命名空间被删除或处于不可用状态,那么所有在该命名空间下创建的资源都会被拒绝。这个控制器帮助确保资源不会被意外创建在无效的命名空间中。

  • LimitRanger:它会限制 Pod 和容器的资源消耗,例如 CPU 和内存。通过限制资源使用,避免资源滥用,确保集群中每个用户或服务所使用的资源不会超出预定范围,防止某些 Pod 使用过多资源导致集群性能下降。

  • PodSecurityPolicy(PSP):虽然 Kubernetes 1.21 版本以后已标记为弃用,PodSecurityPolicy 仍然是 Kubernetes 的一种重要安全机制,它帮助定义哪些类型的 Pod 可以运行。例如,可以限制 Pod 必须运行在非特权模式下、不能使用 root 用户、不能挂载主机文件系统等。此功能在未来将被 Pod Security Standards 代替。

  • ResourceQuota:该控制器限制某个命名空间下可以使用的资源总量。例如,可以设定某个命名空间内最多可以使用 10 个 Pod、5 个服务,或者某个命名空间的 CPU 使用量不能超过 100 核。

  • AlwaysPullImages:在每次启动 Pod 时,Kubernetes 会从镜像仓库拉取最新的镜像,而不是使用缓存中的镜像。这样可以确保容器始终使用最新的镜像版本,避免潜在的版本问题。

4. 准入控制器的扩展

Kubernetes 允许用户根据需求开发自定义的准入控制器,扩展 Kubernetes 的功能。例如,可以开发一个准入控制器来限制 Pod 中某些特定环境变量的使用,或者确保 Pod 中的镜像是来自某个信任的镜像仓库。

5. 启用和配置准入控制器

Kubernetes 的准入控制器是可以根据需求启用或禁用的。管理员可以在 Kubernetes 集群中通过修改 API Server 的配置来选择启用哪些准入控制器。

例如,API Server 的启动参数中可以配置:

--enable-admission-plugins=NamespaceLifecycle,LimitRanger,ServiceAccount
Bash

这将启用 NamespaceLifecycleLimitRangerServiceAccount 控制器,其他控制器则会被禁用。

总结

Kubernetes 的准入控制机制通过一组准入控制器来确保资源的创建、更新、删除操作符合集群的安全、资源管理和策略要求。通过准入控制器,Kubernetes 可以验证、修改和拒绝不符合要求的请求,确保集群的健康和安全。管理员可以根据需求选择适合的准入控制器,或者开发自定义的准入控制器,进一步增强集群的安全性和可控性。

上一篇 简述Kubernetes如何保证集群的安全性?
下一篇 简述Kubernetes PodSecurityPolicy机制?

发表评论

后才能评论

八股文_Kubernetes系列教程