Kubernetes アドミッションコントローラ.

アドミッションコントローラは、Kubernetes API サーバのプラグインで、認証済み要求が永続化される前にオブジェクトを検証・変更・拒否します。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

アドミッションコントローラは、Kubernetes API サーバのプラグインで、認証済み要求が永続化される前にオブジェクトを検証・変更・拒否します。

Kubernetes のアドミッションは二段階で動作します。mutating コントローラはオブジェクトを書き換え(既定値の付与やサイドカー注入など)、validating コントローラは受理または拒否を決定します。組み込みコントローラには NamespaceLifecycle、ResourceQuota、ServiceAccount、Pod Security、ImagePolicyWebhook などがあります。外部コントローラは MutatingWebhookConfiguration または ValidatingWebhookConfiguration として登録し、AdmissionReview の JSON を受け取って判定を返します。1.28 以降の ValidatingAdmissionPolicy では CEL ルールを API に直接埋め込めます。アドミッションは Kubernetes のセキュリティポリシ(PSS、イメージ署名、ラベル統制)を強制する中心点であり、OPA Gatekeeper や Kyverno もここで動作します。Webhook が落ちるとクラスタが壊れる可能性があるため、failurePolicy とタイムアウトは慎重に設定します。

Kubernetes アドミッションコントローラ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: Admission Webhook, ValidatingAdmissionPolicy。