Admission Controller de Kubernetes
¿Qué es Admission Controller de Kubernetes?
Admission Controller de KubernetesUn admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas.
La admision en Kubernetes tiene dos fases: los controladores mutating pueden modificar el objeto (defaults, inyectar sidecars) y los validating pueden aceptarlo o rechazarlo. Hay controladores integrados como NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security e ImagePolicyWebhook. Los externos se registran como MutatingWebhookConfiguration o ValidatingWebhookConfiguration, reciben un AdmissionReview en JSON y emiten un veredicto; ValidatingAdmissionPolicy (1.28+) permite reglas CEL embebidas en el API. La admision es el punto principal de aplicacion de politicas (PSS, firma de imagenes, etiquetas), y donde se enganchan OPA Gatekeeper y Kyverno. Los fallos en los webhooks pueden romper el cluster, asi que failurePolicy y los timeouts deben ajustarse con cuidado.
● Ejemplos
- 01
Un webhook mutating que inyecta un sidecar de Istio en cada pod nuevo de un namespace etiquetado.
- 02
Una ValidatingAdmissionPolicy que rechaza Deployments sin runAsNonRoot.
● Preguntas frecuentes
¿Qué es Admission Controller de Kubernetes?
Un admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Admission Controller de Kubernetes?
Un admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas.
¿Cómo funciona Admission Controller de Kubernetes?
La admision en Kubernetes tiene dos fases: los controladores mutating pueden modificar el objeto (defaults, inyectar sidecars) y los validating pueden aceptarlo o rechazarlo. Hay controladores integrados como NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security e ImagePolicyWebhook. Los externos se registran como MutatingWebhookConfiguration o ValidatingWebhookConfiguration, reciben un AdmissionReview en JSON y emiten un veredicto; ValidatingAdmissionPolicy (1.28+) permite reglas CEL embebidas en el API. La admision es el punto principal de aplicacion de politicas (PSS, firma de imagenes, etiquetas), y donde se enganchan OPA Gatekeeper y Kyverno. Los fallos en los webhooks pueden romper el cluster, asi que failurePolicy y los timeouts deben ajustarse con cuidado.
¿Cómo defenderse de Admission Controller de Kubernetes?
Las defensas contra Admission Controller de Kubernetes combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Admission Controller de Kubernetes?
Nombres alternativos comunes: Admission webhook, ValidatingAdmissionPolicy.
● Términos relacionados
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
- cloud-security№ 838
Pod Security Standards
Los Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy.
- cloud-security№ 599
Kubernetes NetworkPolicy
NetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo.
- cloud-security№ 582
Kata Containers
Kata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware.
- cloud-security№ 455
gVisor
gVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host.