Kubernetes Admission Controller
Was ist Kubernetes Admission Controller?
Kubernetes Admission ControllerEin Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt.
Kubernetes-Admission laeuft in zwei Phasen: Mutating-Controller koennen das Objekt aendern (Defaults setzen, Sidecars injizieren), Validating-Controller akzeptieren oder lehnen es ab. Eingebaute Controller sind unter anderem NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security und ImagePolicyWebhook. Externe registrieren sich als MutatingWebhookConfiguration oder ValidatingWebhookConfiguration, erhalten ein AdmissionReview-JSON und liefern ein Urteil; ValidatingAdmissionPolicy (ab 1.28) bettet CEL-Regeln direkt in die API ein. Admission ist die zentrale Enforcement-Stelle fuer Security-Policies (PSS, Image Signing, Label-Hygiene) und der Andockpunkt von OPA Gatekeeper und Kyverno. Webhook-Ausfaelle koennen den Cluster brechen, daher muessen failurePolicy und Timeouts sorgfaeltig konfiguriert sein.
● Beispiele
- 01
Ein Mutating-Webhook injiziert in einem gelabelten Namespace einen Istio-Sidecar in jeden neuen Pod.
- 02
Eine ValidatingAdmissionPolicy lehnt Deployments ohne runAsNonRoot ab.
● Häufige Fragen
Was ist Kubernetes Admission Controller?
Ein Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.
Was bedeutet Kubernetes Admission Controller?
Ein Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt.
Wie funktioniert Kubernetes Admission Controller?
Kubernetes-Admission laeuft in zwei Phasen: Mutating-Controller koennen das Objekt aendern (Defaults setzen, Sidecars injizieren), Validating-Controller akzeptieren oder lehnen es ab. Eingebaute Controller sind unter anderem NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security und ImagePolicyWebhook. Externe registrieren sich als MutatingWebhookConfiguration oder ValidatingWebhookConfiguration, erhalten ein AdmissionReview-JSON und liefern ein Urteil; ValidatingAdmissionPolicy (ab 1.28) bettet CEL-Regeln direkt in die API ein. Admission ist die zentrale Enforcement-Stelle fuer Security-Policies (PSS, Image Signing, Label-Hygiene) und der Andockpunkt von OPA Gatekeeper und Kyverno. Webhook-Ausfaelle koennen den Cluster brechen, daher muessen failurePolicy und Timeouts sorgfaeltig konfiguriert sein.
Wie schützt man sich gegen Kubernetes Admission Controller?
Schutzmaßnahmen gegen Kubernetes Admission Controller kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Kubernetes Admission Controller?
Übliche alternative Bezeichnungen: Admission Webhook, ValidatingAdmissionPolicy.
● Verwandte Begriffe
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper ist ein CNCF-Policy-Controller, der Open Policy Agent und die Sprache Rego nutzt, um Admission- und Audit-Policies fuer Kubernetes-Ressourcen durchzusetzen.
- cloud-security№ 602
Kyverno
Kyverno ist eine CNCF-Kubernetes-Policy-Engine, die Ressourcen ueber in nativem YAML formulierte Policies validiert, mutiert und erzeugt, statt eine neue DSL einzufuehren.
- cloud-security№ 838
Pod Security Standards
Pod Security Standards (PSS) sind von Kubernetes definierte Sicherheitsprofile — Privileged, Baseline und Restricted — die sichere Pod-Konfiguration kodifizieren und das veraltete PodSecurityPolicy ersetzen.
- cloud-security№ 599
Kubernetes NetworkPolicy
Eine Kubernetes-NetworkPolicy ist eine namespaced Ressource, die anhand von IP, Port und Protokoll regelt, welche Pods sich mit welchen Pods oder externen Zielen verbinden duerfen.
- cloud-security№ 582
Kata Containers
Kata Containers ist eine Open-Source-Runtime, die jeden Container oder Kubernetes-Pod in eine leichtgewichtige virtuelle Maschine kapselt und damit Isolation auf Hardware-Ebene bietet.
- cloud-security№ 455
gVisor
gVisor ist ein Open-Source-Application-Kernel von Google, der Container-Syscalls im User-Space abfaengt und damit die Host-Kernel-Angriffsflaeche fuer untrusted Workloads drastisch verkleinert.