Admission Controller Kubernetes
Qu'est-ce que Admission Controller Kubernetes ?
Admission Controller KubernetesUn admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique.
L'admission Kubernetes a deux phases : les controleurs mutating peuvent modifier l'objet (valeurs par defaut, injection de sidecar), les validating peuvent l'accepter ou le rejeter. Les controleurs integres incluent NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security et ImagePolicyWebhook. Les controleurs externes s'enregistrent comme MutatingWebhookConfiguration ou ValidatingWebhookConfiguration, recoivent un AdmissionReview JSON et rendent un verdict ; ValidatingAdmissionPolicy (1.28+) embarque des regles CEL dans l'API. L'admission est le point d'application principal des politiques de securite (PSS, signature d'images, etiquettes), et la ou OPA Gatekeeper et Kyverno se branchent. Une panne de webhook peut casser le cluster : failurePolicy et timeouts doivent etre regles avec soin.
● Exemples
- 01
Un webhook mutating injecte un sidecar Istio dans chaque nouveau pod d'un namespace etiquete.
- 02
Une ValidatingAdmissionPolicy rejette les Deployments sans runAsNonRoot.
● Questions fréquentes
Qu'est-ce que Admission Controller Kubernetes ?
Un admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Admission Controller Kubernetes ?
Un admission controller est un plugin de l'API server Kubernetes qui intercepte les requetes authentifiees avant persistance pour valider, muter ou rejeter les objets selon la politique.
Comment fonctionne Admission Controller Kubernetes ?
L'admission Kubernetes a deux phases : les controleurs mutating peuvent modifier l'objet (valeurs par defaut, injection de sidecar), les validating peuvent l'accepter ou le rejeter. Les controleurs integres incluent NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security et ImagePolicyWebhook. Les controleurs externes s'enregistrent comme MutatingWebhookConfiguration ou ValidatingWebhookConfiguration, recoivent un AdmissionReview JSON et rendent un verdict ; ValidatingAdmissionPolicy (1.28+) embarque des regles CEL dans l'API. L'admission est le point d'application principal des politiques de securite (PSS, signature d'images, etiquettes), et la ou OPA Gatekeeper et Kyverno se branchent. Une panne de webhook peut casser le cluster : failurePolicy et timeouts doivent etre regles avec soin.
Comment se défendre contre Admission Controller Kubernetes ?
Les défenses contre Admission Controller Kubernetes combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Admission Controller Kubernetes ?
Noms alternatifs courants : Admission webhook, ValidatingAdmissionPolicy.
● Termes liés
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper est un controleur de politiques CNCF qui utilise Open Policy Agent et le langage Rego pour appliquer des politiques d'admission et d'audit dans Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno est un moteur de politiques Kubernetes CNCF qui valide, mute et genere des ressources via des politiques ecrites en YAML natif plutot que dans un nouveau DSL.
- cloud-security№ 838
Pod Security Standards
Les Pod Security Standards (PSS) sont des profils de securite definis par Kubernetes — Privileged, Baseline et Restricted — qui codifient la configuration sure des pods et remplacent l'ancien PodSecurityPolicy.
- cloud-security№ 599
NetworkPolicy Kubernetes
NetworkPolicy Kubernetes est une ressource namespaced qui controle quels pods peuvent se connecter a quels pods ou endpoints externes via IP, port et protocole.
- cloud-security№ 582
Kata Containers
Kata Containers est un runtime open source qui encapsule chaque conteneur ou pod Kubernetes dans une machine virtuelle legere pour fournir une isolation au niveau materiel.
- cloud-security№ 455
gVisor
gVisor est un noyau applicatif open source de Google qui intercepte les appels systeme des conteneurs en espace utilisateur, reduisant la surface d'attaque du noyau hote exposee aux charges non fiables.