Kapitel 8. Einlasskontrolle
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
Wir haben in diesem Buch schon oft darüber geschrieben, dass das flexible, modulare Design von Kubernetes eine seiner großen Stärken ist. Sinnvolle Standardeinstellungen können ersetzt, erweitert oder ausgebaut werden, um den Nutzern der Plattform alternative oder umfassendere Funktionen zu bieten. Die Zugangskontrolle ist ein Bereich, der besonders von diesem flexiblen Designziel profitiert. Bei der Zulassungskontrolle geht es darum, Anfragen an den Kubernetes-API-Server zu validieren und zu verändern , bevor sie in etcd gespeichert werden. Diese Fähigkeit, Objekte mit feiner Granularität und Kontrolle abzufangen, eröffnet eine Reihe interessanter Anwendungsfälle, zum Beispiel:
-
Sicherstellen, dass keine neuen Objekte in einem Namespace erstellt werden können, der gerade gelöscht wird (im terminierenden Zustand)
-
Erzwingen, dass neue Pods nicht als Root-User laufen
-
Sicherstellen, dass die Gesamtsumme des von allen Pods in einem Namespace verwendeten Speichers eine benutzerdefinierte Grenze nicht überschreitet
-
Sicherstellen, dass Ingress-Regeln nicht versehentlich überschrieben werden können
-
Hinzufügen eines Sidecar-Containers zu jedem Pod (z. B. Istio)
Zunächst werfen wir einen Blick auf die Zulassungskette, also den Prozess, den alle Anfragen an den API-Server durchlaufen. Dann gehen wir zu den In-Tree-Controllern ...
Get Produktion Kubernetes now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
