为什么需要 Kubernetes 准入控制器

云计算
Kubernetes 准入控制器是集群管理必要功能。这些控制器主要在后台工作,并且许多可以作为编译插件使用,它可以极大地提高部署的安全性。

Kubernetes 准入控制器是集群管理必要功能。这些控制器主要在后台工作,并且许多可以作为编译插件使用,它可以极大地提高部署的安全性。

准入控制器在 API 请求传递到 APIServer 之前拦截它们,并且可以禁止或修改它们。这适用于大多数类型的 Kubernetes 请求。准入控制器在经过适当的身份验证和授权后处理请求。

默认情况下启用了几个准入控制器,因为大多数正常的 Kubernetes 操作都依赖于它们。这些控制器中的大多数都包含一些 Kubernetes 源代码树,并被编译为插件。但是,也可以编写和部署第三方准入控制器。一些说明性示例将在稍后解决这个问题。

准入控制器工作原理

Kubernetes 控制平面由几个组件组成。其中一个组件是 kube-apiserver,简单的 API server。它公开了一个 REST 端点,用户、集群组件以及客户端应用程序可以通过该端点与集群进行通信。总的来说,它会进行以下操作:

  • 从客户端应用程序(如 kubectl)接收标准 HTTP 请求。
  • 验证传入请求并应用授权策略。
  • 在成功的身份验证中,它能根据端点对象(Pod、Deployments、Namespace 等)和 http 动作(Create、Put、Get、Delete 等)执行操作。
  • 对 etcd 数据存储进行更改以保存数据。
  • 操作完成,它就向客户端发送响应。

现在让我们考虑这样一种情况:在请求经过身份验证后,但在对 etcd 数据存储进行任何更改之前,我们需要拦截该请求。例如:

  • 拦截客户端发送的请求。
  • 解析请求并执行操作。
  • 根据请求的结果,决定对 etcd 进行更改还是拒绝对 etcd 进行更改。

Kubernetes 准入控制器就是用于这种情况的插件。在代码层面,准入控制器逻辑与 API server 逻辑解耦,这样用户就可以开发自定义拦截器(custom interceptor),无论何时对象被创建、更新或从 etcd 中删除,都可以调用该拦截器。

有了准入控制器,从任意来源到 API server 的请求流将如下所示:

根据准入控制器执行的操作类型,它可以分为三种类型:

  • Mutating(变更)
  • Validating(验证)
  • Both(两者都有)

Mutating:这种控制器可以解析请求,并在请求向下发送之前对请求进行更改(变更请求)。

例如:AlwaysPullImages

Validating:这种控制器可以解析请求并根据特定数据进行验证。

例如:NamespaceExists

Both:这种控制器可以执行变更和验证两种操作。

例如:CertificateSigning

默认准入控制器

Kubernetes 具有多个内置准入控制器。一个简单的例子,DefaultIngressClass将默认入口类应用到还没有指定类的入口对象。同样,DefaultStorageClass将默认存储类应用到PersistentVolumeClaims还没有的存储类。必须启用此控制器以允许基于存储类的动态存储配置。

准入控制器在维护安全性方面非常有帮助。例如,它们可以减轻对多租户集群的拒绝服务 (DoS) 攻击。考虑LimitRanger插件,顾名思义,它强制限制范围。限制范围以每个命名空间为基础定义资源消耗的强制范围。这可以防止租户耗尽彼此的资源。

另一个问题是所谓的事件泛滥,集群被事件淹没,无法充分处理其他合法请求。对于EventRateLimit此类情况,控制器是一种强大的缓解工具。它的设计使其能够限制每个命名空间或每个用户的事件发生率。

此外,还有两个重要的控制器允许开发人员将他们的准入插件作为 webhook 运行,以便在运行时进行配置。MutatingAdmissionWebhook使 webhook 能够修改提交的资源,通常用于强制执行自定义默认值。同时,ValidatingAdmissionWebhook控制器启用已注册的 webhook 来决定处于最终状态的 API 验证资源是继续通过还是被完全丢弃。

第三方准入控制器

Kubernetes 有两个领先的开源策略引擎:Open Policy Agent (OPA) Gatekeeper 和 Kyverno。

这两个引擎都是对云原生计算基金会 (CNCF) 的捐赠,该基金会致力于云原生技术的标准化和推广。它在其上级组织 Linux 基金会下运作。值得注意的是,Kubernetes 是一个 CNCF 项目。

Kyverno 的主要优势在于它不需要学习额外的语言。它的所有策略都定义为 Kubernetes 资源。相反,Gatekeeper 利用 OPA 的声明性语言 Rego。Gatekeeper 是更大的 OPA 系统的一部分,而 Kyverno 是 Kubernetes 的独立项目。总而言之,Gatekeeper 是更 成熟的项目,但 Kyverno 的学习曲线更小。

使用控制器的目的

在物理机上执行多项服务的最初方法是让虚拟机共享同一主机,并使用管理程序分隔它们的操作系统。一个复杂的云配置系统(例如,由 AWS 定义的那些)使系统保持独立,并确保租户不会意外或故意伤害彼此。

Kubernetes 最初被设计为单个组织或用户可以使用的协作系统。此外,它比其他云系统之间的依赖更强。然而,随着 Kubernetes 在可用部署的多样性和处理更大集群规模的能力方面的增长,制定确保单个用户不会干扰系统操作的策略变得越来越重要。

为了使这个过程自动化,组织需要一个策略系统。Kubernetes 具有一些内置支持,但它不具备功能齐全的专用策略引擎的能力。

自定义准入控制器

您可以使用 Webhook 使用任何可以处理 HTTP 请求并返回 Javascript 对象表示法 (JSON) 的语言来编写自定义准入控制器逻辑。例如,Go、Python 或 Ruby 都是有效的选项。

下面的示例演示了如何为自定义准入控制器设置 webhook。它类似于上面介绍的 LimitRanger,它拒绝对超过资源命名空间限制的 Pod 的请求。

首先,使用配置对象注册 webhook:

apiVersion: admissionregistration.k8s.io/v1beta1
kind: ValidatingWebhookConfiguration
metadata:
name: mywebhook
webhooks:
- name: mywebhook
clientConfig:
service:
name: mywebhook
namespace: project1
path: "/hook"
rules:
- operations: ["CREATE"]
apiVersions: ["v1"]
apiGroups: [""]
resources: ["pods"]

这说明 ValidatingWebhookController webhook。它还指定要访问的服务以及在运行服务器的容器上探测的路径。它还确定在决定是否调用 webhook 时要应用哪些规则。此示例侧重于创建新 pod。

实际上,在集群上创建此资源将在最后发生 - 在为 webhook 服务器创建部署之后。部署包含与上述文件中的定义匹配的服务:

apiVersion: v1
kind: Service
metadata:
name: mywebhook
namespace: project1
spec:
- ports:
name: mywebhook
port: 80
targetPort: 8000

下面是 webhook 的示例部署,与常规应用程序没有什么不同。我们不会探索使用传输层安全 (TLS) 来保护通信,但强烈建议这样做。

apiVersion: apps/v1
kind: Deployment
metadata:
name: mywebhook
namespace: project1
spec:
selector:
matchLabels:
app: mywebhook
template:
metadata:
labels:
app: mywebhook
spec:
containers:
- image: webhook1:latest
name: mywebhook

新的 Pod 请求提交给 Kubernetes 并通过 Kubernetes 传递后ValidatingWebhook,相关信息会作为POST请求发送到配置的 URL 路径,并包含一个 JSON 对象供 webhook 处理。

验证是否正常工作

部署完 webhook 服务器并完成配置之后,我们还需要对它进行测试和验证,

用 kubectl create -f examples/.yaml 创建 Pod。如果是前两种情况,我们可以通过检查日志来验证 Pod 运行时的用户 ID,例如:

$ kubectl create -f examples/pod-test.yaml
$ kubectl logs pod-test
{
"apiVersion": "admission.k8s.io/v1",
"kind": "AdmissionReview",
"response": {
"uid": "6ce7a33c-ea67-40e5-9cc8-f710d31985dc",
"allowed": true
}
}

当然我们也可以自定义更复杂的准入控制器,明确某些 Pod 必须以非 root 身份运行,如果不对,那么就可以拒绝对象创建请求。

自定义准入控制器可以像这个示例一样简单,也可以复杂得多。

责任编辑:赵宁宁 来源: 云原生技术爱好者社区
相关推荐

2021-11-25 14:44:51

Kubernetes复制控制器

2023-11-07 08:00:00

Kubernetes

2020-02-24 20:45:33

控制器技术选型技巧

2020-04-02 09:58:26

Kubernetes容器开发

2018-06-14 08:44:03

2016-04-27 09:54:52

SDNSDN控制器

2024-09-27 16:28:07

2023-09-07 10:38:08

Kubernetes控制器

2011-07-14 10:28:54

额外域控制器

2015-08-07 15:28:46

选取城市控制器源码

2023-08-13 18:31:45

SDN控制器

2011-08-23 10:11:54

2015-02-02 09:37:42

SDN控制器

2011-07-12 09:29:10

主域控制器备份域控制器

2018-04-10 13:40:14

Kubernetes容器服务器

2024-06-06 09:19:09

2024-10-25 09:19:18

2009-01-12 11:16:58

控制器控制器行为行为结果

2024-06-18 13:22:42

Nginx云原生Kubernetes

2023-01-06 08:16:21

Kubernetesapiserver
点赞
收藏

51CTO技术栈公众号