Kubernetes 準(zhǔn)入控制器是集群管理必要功能。這些控制器主要在后臺工作，并且許多可以作為編譯插件使用，它可以極大地提高部署的安全性。

準(zhǔn)入控制器在 API 請求傳遞到 APIServer 之前攔截它們，并且可以禁止或修改它們。這適用于大多數(shù)類型的 Kubernetes 請求。準(zhǔn)入控制器在經(jīng)過適當(dāng)?shù)纳矸蒡炞C和授權(quán)后處理請求。

默認(rèn)情況下啟用了幾個準(zhǔn)入控制器，因為大多數(shù)正常的 Kubernetes 操作都依賴于它們。這些控制器中的大多數(shù)都包含一些 Kubernetes 源代碼樹，并被編譯為插件。但是，也可以編寫和部署第三方準(zhǔn)入控制器。一些說明性示例將在稍后解決這個問題。

準(zhǔn)入控制器工作原理

Kubernetes 控制平面由幾個組件組成。其中一個組件是 kube-apiserver，簡單的 API server。它公開了一個 REST 端點(diǎn)，用戶、集群組件以及客戶端應(yīng)用程序可以通過該端點(diǎn)與集群進(jìn)行通信。總的來說，它會進(jìn)行以下操作：

• 從客戶端應(yīng)用程序(如 kubectl)接收標(biāo)準(zhǔn) HTTP 請求。
• 驗證傳入請求并應(yīng)用授權(quán)策略。
• 在成功的身份驗證中，它能根據(jù)端點(diǎn)對象(Pod、Deployments、Namespace 等)和 http 動作(Create、Put、Get、Delete 等)執(zhí)行操作。
• 對 etcd 數(shù)據(jù)存儲進(jìn)行更改以保存數(shù)據(jù)。
• 操作完成，它就向客戶端發(fā)送響應(yīng)。

現(xiàn)在讓我們考慮這樣一種情況：在請求經(jīng)過身份驗證后，但在對 etcd 數(shù)據(jù)存儲進(jìn)行任何更改之前，我們需要攔截該請求。例如：

• 攔截客戶端發(fā)送的請求。
• 解析請求并執(zhí)行操作。
• 根據(jù)請求的結(jié)果，決定對 etcd 進(jìn)行更改還是拒絕對 etcd 進(jìn)行更改。

Kubernetes 準(zhǔn)入控制器就是用于這種情況的插件。在代碼層面，準(zhǔn)入控制器邏輯與 API server 邏輯解耦，這樣用戶就可以開發(fā)自定義攔截器(custom interceptor)，無論何時對象被創(chuàng)建、更新或從 etcd 中刪除，都可以調(diào)用該攔截器。

有了準(zhǔn)入控制器，從任意來源到 API server 的請求流將如下所示：

根據(jù)準(zhǔn)入控制器執(zhí)行的操作類型，它可以分為三種類型：

• Mutating(變更)
• Validating(驗證)
• Both(兩者都有)

Mutating：這種控制器可以解析請求，并在請求向下發(fā)送之前對請求進(jìn)行更改(變更請求)。

例如：AlwaysPullImages

Validating：這種控制器可以解析請求并根據(jù)特定數(shù)據(jù)進(jìn)行驗證。

例如：NamespaceExists

Both：這種控制器可以執(zhí)行變更和驗證兩種操作。

例如：CertificateSigning

默認(rèn)準(zhǔn)入控制器

Kubernetes 具有多個內(nèi)置準(zhǔn)入控制器。一個簡單的例子，DefaultIngressClass將默認(rèn)入口類應(yīng)用到還沒有指定類的入口對象。同樣，DefaultStorageClass將默認(rèn)存儲類應(yīng)用到PersistentVolumeClaims還沒有的存儲類。必須啟用此控制器以允許基于存儲類的動態(tài)存儲配置。

準(zhǔn)入控制器在維護(hù)安全性方面非常有幫助。例如，它們可以減輕對多租戶集群的拒絕服務(wù) (DoS) 攻擊?？紤]LimitRanger插件，顧名思義，它強(qiáng)制限制范圍。限制范圍以每個命名空間為基礎(chǔ)定義資源消耗的強(qiáng)制范圍。這可以防止租戶耗盡彼此的資源。

另一個問題是所謂的事件泛濫，集群被事件淹沒，無法充分處理其他合法請求。對于EventRateLimit此類情況，控制器是一種強(qiáng)大的緩解工具。它的設(shè)計使其能夠限制每個命名空間或每個用戶的事件發(fā)生率。

此外，還有兩個重要的控制器允許開發(fā)人員將他們的準(zhǔn)入插件作為 webhook 運(yùn)行，以便在運(yùn)行時進(jìn)行配置。MutatingAdmissionWebhook使 webhook 能夠修改提交的資源，通常用于強(qiáng)制執(zhí)行自定義默認(rèn)值。同時，ValidatingAdmissionWebhook控制器啟用已注冊的 webhook 來決定處于最終狀態(tài)的 API 驗證資源是繼續(xù)通過還是被完全丟棄。

第三方準(zhǔn)入控制器

Kubernetes 有兩個領(lǐng)先的開源策略引擎：Open Policy Agent (OPA) Gatekeeper 和 Kyverno。

這兩個引擎都是對云原生計算基金會 (CNCF) 的捐贈，該基金會致力于云原生技術(shù)的標(biāo)準(zhǔn)化和推廣。它在其上級組織 Linux 基金會下運(yùn)作。值得注意的是，Kubernetes 是一個 CNCF 項目。

Kyverno 的主要優(yōu)勢在于它不需要學(xué)習(xí)額外的語言。它的所有策略都定義為 Kubernetes 資源。相反，Gatekeeper 利用 OPA 的聲明性語言 Rego。Gatekeeper 是更大的 OPA 系統(tǒng)的一部分，而 Kyverno 是 Kubernetes 的獨(dú)立項目。總而言之，Gatekeeper 是更 成熟的項目，但 Kyverno 的學(xué)習(xí)曲線更小。

使用控制器的目的

在物理機(jī)上執(zhí)行多項服務(wù)的最初方法是讓虛擬機(jī)共享同一主機(jī)，并使用管理程序分隔它們的操作系統(tǒng)。一個復(fù)雜的云配置系統(tǒng)(例如，由 AWS 定義的那些)使系統(tǒng)保持獨(dú)立，并確保租戶不會意外或故意傷害彼此。

Kubernetes 最初被設(shè)計為單個組織或用戶可以使用的協(xié)作系統(tǒng)。此外，它比其他云系統(tǒng)之間的依賴更強(qiáng)。然而，隨著 Kubernetes 在可用部署的多樣性和處理更大集群規(guī)模的能力方面的增長，制定確保單個用戶不會干擾系統(tǒng)操作的策略變得越來越重要。

為了使這個過程自動化，組織需要一個策略系統(tǒng)。Kubernetes 具有一些內(nèi)置支持，但它不具備功能齊全的專用策略引擎的能力。

自定義準(zhǔn)入控制器

您可以使用 Webhook 使用任何可以處理 HTTP 請求并返回 Javascript 對象表示法 (JSON) 的語言來編寫自定義準(zhǔn)入控制器邏輯。例如，Go、Python 或 Ruby 都是有效的選項。

下面的示例演示了如何為自定義準(zhǔn)入控制器設(shè)置 webhook。它類似于上面介紹的 LimitRanger，它拒絕對超過資源命名空間限制的 Pod 的請求。

首先，使用配置對象注冊 webhook：

apiVersion: admissionregistration.k8s.io/v1beta1
kind: ValidatingWebhookConfiguration
metadata:
  name: mywebhook
webhooks:
  - name: mywebhook
    clientConfig:
      service:
        name: mywebhook
        namespace: project1
        path: "/hook"
    rules:
      - operations: ["CREATE"]
        apiVersions: ["v1"]
        apiGroups: [""]
        resources: ["pods"]

這說明 ValidatingWebhookController webhook。它還指定要訪問的服務(wù)以及在運(yùn)行服務(wù)器的容器上探測的路徑。它還確定在決定是否調(diào)用 webhook 時要應(yīng)用哪些規(guī)則。此示例側(cè)重于創(chuàng)建新 pod。

實際上，在集群上創(chuàng)建此資源將在最后發(fā)生 - 在為 webhook 服務(wù)器創(chuàng)建部署之后。部署包含與上述文件中的定義匹配的服務(wù)：

apiVersion: v1
kind: Service
metadata:
  name: mywebhook
  namespace: project1
spec:
  - ports:
      name: mywebhook
      port: 80
      targetPort: 8000

下面是 webhook 的示例部署，與常規(guī)應(yīng)用程序沒有什么不同。我們不會探索使用傳輸層安全 (TLS) 來保護(hù)通信，但強(qiáng)烈建議這樣做。

apiVersion: apps/v1
kind: Deployment
metadata:
  name: mywebhook
  namespace: project1
spec:
  selector:
    matchLabels:
      app: mywebhook
  template:
    metadata:
      labels:
        app: mywebhook
    spec:
      containers:
        - image: webhook1:latest
          name: mywebhook

新的 Pod 請求提交給 Kubernetes 并通過 Kubernetes 傳遞后ValidatingWebhook，相關(guān)信息會作為POST請求發(fā)送到配置的 URL 路徑，并包含一個 JSON 對象供 webhook 處理。

驗證是否正常工作

部署完 webhook 服務(wù)器并完成配置之后，我們還需要對它進(jìn)行測試和驗證，

用 kubectl create -f examples/.yaml 創(chuàng)建 Pod。如果是前兩種情況，我們可以通過檢查日志來驗證 Pod 運(yùn)行時的用戶 ID，例如：

$ kubectl create -f examples/pod-test.yaml
$ kubectl logs pod-test

{
  "apiVersion": "admission.k8s.io/v1",
  "kind": "AdmissionReview",
  "response": {
    "uid": "6ce7a33c-ea67-40e5-9cc8-f710d31985dc",
    "allowed": true
  }
}

當(dāng)然我們也可以自定義更復(fù)雜的準(zhǔn)入控制器，明確某些 Pod 必須以非 root 身份運(yùn)行，如果不對，那么就可以拒絕對象創(chuàng)建請求。

自定義準(zhǔn)入控制器可以像這個示例一樣簡單，也可以復(fù)雜得多。