Kubernetes admission webhooks的深入解析,你能详细解释一下吗?
- 内容介绍
- 文章标签
- 相关推荐
本文共计2727个文字,预计阅读时间需要11分钟。
背景:admission controllers 的特点:- 可定制性:准入功能可根据不同场景进行针对性调整。- 可预防性:准入控制器可以预防问题发生。- 可扩展性:在 Kubernetes 中可扩展使用。
BACKGROUNDadmission controllers的特点:
- 可定制性:准入功能可针对不同的场景进行调整。
- 可预防性:审计则是为了检测问题,而准入控制器可以预防问题发生
- 可扩展性:在kubernetes自有的验证机制外,增加了另外的防线,弥补了RBAC仅能对资源提供安全保证。
下图,显示了用户操作资源的流程,可以看出 admission controllers 作用是在通过身份验证资源持久化之前起到拦截作用。在准入控制器的加入会使kubernetes增加了更高级的安全功能。
这里找到一个大佬博客画的图,通过两张图可以很清晰的了解到admission webhook流程,与官方给出的不一样的地方在于,这里清楚地定位了kubernetes admission webhook 处于准入控制中,RBAC之后,push 之前。
本文共计2727个文字,预计阅读时间需要11分钟。
背景:admission controllers 的特点:- 可定制性:准入功能可根据不同场景进行针对性调整。- 可预防性:准入控制器可以预防问题发生。- 可扩展性:在 Kubernetes 中可扩展使用。
BACKGROUNDadmission controllers的特点:
- 可定制性:准入功能可针对不同的场景进行调整。
- 可预防性:审计则是为了检测问题,而准入控制器可以预防问题发生
- 可扩展性:在kubernetes自有的验证机制外,增加了另外的防线,弥补了RBAC仅能对资源提供安全保证。
下图,显示了用户操作资源的流程,可以看出 admission controllers 作用是在通过身份验证资源持久化之前起到拦截作用。在准入控制器的加入会使kubernetes增加了更高级的安全功能。
这里找到一个大佬博客画的图,通过两张图可以很清晰的了解到admission webhook流程,与官方给出的不一样的地方在于,这里清楚地定位了kubernetes admission webhook 处于准入控制中,RBAC之后,push 之前。