Admission Controller Kubernetes
Что такое Admission Controller Kubernetes?
Admission Controller KubernetesAdmission controller — плагин API-сервера Kubernetes, перехватывающий аутентифицированные запросы до сохранения, чтобы по политике валидировать, изменять или отклонять объекты.
Допуск в Kubernetes идёт в две фазы: mutating-контроллеры могут изменять объект (значения по умолчанию, инъекция sidecar), а validating-контроллеры — принять или отклонить. Встроенные контроллеры включают NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security и ImagePolicyWebhook. Внешние регистрируются как MutatingWebhookConfiguration или ValidatingWebhookConfiguration, получают JSON AdmissionReview и возвращают вердикт; ValidatingAdmissionPolicy (1.28+) встраивает CEL-правила прямо в API. Допуск — главная точка применения политик безопасности (PSS, подпись образов, гигиена меток), и сюда подключаются OPA Gatekeeper и Kyverno. Сбои вебхуков могут парализовать кластер, поэтому failurePolicy и тайм-ауты нужно настраивать аккуратно.
● Примеры
- 01
Mutating-вебхук внедряет sidecar Istio в каждый новый pod в помеченном namespace.
- 02
ValidatingAdmissionPolicy отклоняет Deployments без runAsNonRoot.
● Частые вопросы
Что такое Admission Controller Kubernetes?
Admission controller — плагин API-сервера Kubernetes, перехватывающий аутентифицированные запросы до сохранения, чтобы по политике валидировать, изменять или отклонять объекты. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Admission Controller Kubernetes?
Admission controller — плагин API-сервера Kubernetes, перехватывающий аутентифицированные запросы до сохранения, чтобы по политике валидировать, изменять или отклонять объекты.
Как работает Admission Controller Kubernetes?
Допуск в Kubernetes идёт в две фазы: mutating-контроллеры могут изменять объект (значения по умолчанию, инъекция sidecar), а validating-контроллеры — принять или отклонить. Встроенные контроллеры включают NamespaceLifecycle, ResourceQuota, ServiceAccount, Pod Security и ImagePolicyWebhook. Внешние регистрируются как MutatingWebhookConfiguration или ValidatingWebhookConfiguration, получают JSON AdmissionReview и возвращают вердикт; ValidatingAdmissionPolicy (1.28+) встраивает CEL-правила прямо в API. Допуск — главная точка применения политик безопасности (PSS, подпись образов, гигиена меток), и сюда подключаются OPA Gatekeeper и Kyverno. Сбои вебхуков могут парализовать кластер, поэтому failurePolicy и тайм-ауты нужно настраивать аккуратно.
Как защититься от Admission Controller Kubernetes?
Защита от Admission Controller Kubernetes обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Admission Controller Kubernetes?
Распространённые альтернативные названия: Admission webhook, ValidatingAdmissionPolicy.
● Связанные термины
- cloud-security№ 757
OPA Gatekeeper
OPA Gatekeeper — контроллер политик CNCF, использующий Open Policy Agent и язык Rego для применения политик допуска и аудита к ресурсам Kubernetes.
- cloud-security№ 602
Kyverno
Kyverno — CNCF-движок политик Kubernetes, который валидирует, изменяет и создаёт ресурсы по политикам, написанным на нативном YAML, а не на отдельном DSL.
- cloud-security№ 838
Pod Security Standards
Pod Security Standards (PSS) — определённые в Kubernetes профили безопасности Privileged, Baseline и Restricted, фиксирующие безопасную конфигурацию подов вместо устаревшего PodSecurityPolicy.
- cloud-security№ 599
Kubernetes NetworkPolicy
Kubernetes NetworkPolicy — ресурс уровня namespace, который по IP, порту и протоколу определяет, какие поды могут общаться с какими подами или внешними точками.
- cloud-security№ 582
Kata Containers
Kata Containers — открытая среда выполнения, которая упаковывает каждый контейнер или под Kubernetes в лёгкую виртуальную машину, обеспечивая аппаратный уровень изоляции.
- cloud-security№ 455
gVisor
gVisor — открытое ядро уровня приложения от Google, перехватывающее системные вызовы контейнеров в пользовательском пространстве и сокращающее поверхность атаки на ядро хоста.