K8sはネイティブでアドミッションポリシー管理をサポート

K8sはネイティブでアドミッションポリシー管理をサポート

Kubernetes 1.26 の変更ログに、検証アドミッション ポリシー更新のアルファ バージョンが見つかりました。実際、アドミッション制御に特定の言語を使用することも可能です。以前、ポリシー管理は OPA や kyverno などを通じて実行できることを紹介しましたが、これらの方法は公式のデフォルトの方法ではありません。現在、公式が組み込みメソッドを提供しています。アドミッション ポリシーを検証する場合、共通式言語 (CEL) を使用して、検証アドミッション Webhook を検証するための宣言型のインプロセス代替メソッドを提供できます。

CEL は、CustomResourceDefinitions の検証ルールのために Kubernetes に初めて導入されました。この改善により、Kubernetes での CEL の使用が大幅に拡大し、より幅広いアドミッション ユース ケース シナリオをサポートできるようになります。

CELとは

CEL は、高速、移植性があり、安全に実行できるように設計された、チューリング完全ではない式言語です。 CEL はスタンドアロンで使用することも、より大きな製品に組み込むこともできます。

CEL はユーザー コードを安全に実行できる言語として設計されており、ユーザーの Python コードで eval() を盲目的に呼び出すのは危険ですが、ユーザーの CEL コードは安全に実行できます。 CEL はパフォーマンスを低下させる動作を防止するため、ナノ秒からマイクロ秒の時間スケールで安全に評価できます。パフォーマンスが重要となるアプリケーションに最適です。 CEL は、単一行関数やラムダ式に似た式を評価します。 CEL はブール値の決定によく使用されますが、JSON や protobuf メッセージなどのより複雑なオブジェクトの構築にも使用できます。

CEL の C のような構文は、C++、Go、Java、TypeScript の同等の式とほぼ同じです。

 resource.name.startWith("/groups/" + auth.claims.group) // resource.name が group で始まるかどうかを確認します

CEL 言語の完全な構文については、公式 Web サイト https://github.com/google/cel-spec を参照してください。

アクセス戦略

アドミッション コントローラーの開発と運用は非常に面倒であることは承知しています。 Webhook プログラムの開発に加えて、入場リクエストを処理するための Webhook バイナリ ファイルも維持する必要があります。入場ウェブフックの操作も非常に複雑です。各 Webhook は展開、監視され、明確なアップグレードおよびロールバック計画が必要です。 Webhook がタイムアウトしたり利用できなくなったりすると、Kubernetes コントロール プレーンが利用できなくなる可能性があり、大きな影響が生じます。リモート Webhook プログラムを呼び出す代わりに、CEL 式を Kubernetes リソースに埋め込むことでアドミッション ポリシーを実装できるようになりました。これにより、アドミッション Webhook の複雑さが大幅に軽減されます。

ポリシー管理は通常、次の 3 つのリソースで構成されます。

  • ValidatingAdmissionPolicy は、ポリシーの抽象ロジックを記述します。
  • ValidatingAdmissionPolicyBinding は上記のリソースをリンクし、スコープを提供します。
  • パラメータ リソースは、ValidatingAdmissionPolicy に情報を提供して、それを具体化します。 ConfigMap や CRD などのタイプはパラメータ リソースのスキーマを定義し、ValidatingAdmissionPolicy オブジェクトは期待されるパラメータ リソースの種類を指定します。

ポリシーを有効にするには、少なくとも 1 つの ValidatingAdmissionPolicy と対応する ValidatingAdmissionPolicyBinding を定義する必要があります。パラメータを通じて ValidatingAdmissionPolicy を構成する必要がない場合は、ValidatingAdmissionPolicy で spec.paramKind を設定しないでください。

非常に単純な例として、たとえば、デプロイメントが持つことができるレプリカの数に制限を設定する場合は、検証戦略リソース オブジェクトを次のように定義できます。

 apiバージョン: admissionregistrationk8sio / v1alpha1
種類: ValidatingAdmissionPolicy
メタデータ:
name : "demo-policy.example.com" #ポリシーオブジェクト
仕様:
制約に一致:
リソースルール:
-apiGroups : [ "アプリ" ]
apiバージョン: [ "v1" ]
操作: [ "CREATE""UPDATE" ]
リソース: [ "デプロイメント" ]
検証:
-: "object.spec.replicas <= 5"

オブジェクト内の式フィールドの値は、入場要求を検証するために使用される CEL 式です。ここで設定した object.spec.replicas <= 5 は、オブジェクトの spec.replicas 属性の値が 5 より大きいかどうかを確認する必要があることを意味します。matchConstraints 属性は、ValidatingAdmissionPolicy オブジェクトが検証できるリクエストの種類を宣言します。ここでは、Deployment リソース オブジェクトをターゲットにします。

次に、このポリシーを適切なリソースにバインドします。

 apiバージョン: admissionregistrationk8sio / v1alpha1
種類: ValidatingAdmissionPolicyBinding
メタデータ:
名前: "demo-binding-test.example.com"
仕様:
ポリシー: "demo-policy.example.com"
一致するリソース:
名前空間セレクタ:
-キー:環境
演算子:では
: [ "テスト" ]

この ValidatingAdmissionPolicyBinding リソースは、上記で宣言した demo-policy.example.com ポリシーを、環境ラベルが test に設定された名前空間にバインドします。バインディング オブジェクトが作成されると、kube-apiserver はこのアドミッション ポリシーの適用を開始します。

簡単な比較ができます。上記の機能をアドミッションウェブフックの開発で実装する場合、<= チェックを実行するプログラムを開発し、保守する必要があります。非常に単純な機能ですが、他にも多くの作業が必要です。また、実際の作業では、比較的単純なチェックがほとんどであり、CEL を使用して簡単に表現できます。

さらに、検証許可ポリシーは高度に構成可能です。必要に応じてポリシーを定義し、クラスター管理者のニーズに応じてリソースをパラメーター化できます。たとえば、上記のアドミッションポリシーを変更して構成可能にすることができます。

 apiバージョン: admissionregistrationk8sio / v1alpha1
種類: ValidatingAdmissionPolicy
メタデータ:
名前: "demo-policy.example.com"
仕様:
パラメータの種類:
apiVersion :ルールcom / v1 #CRD必要
種類:レプリカ制限
制約に一致:
リソースルール:
-apiGroups : [ "アプリ" ]
apiバージョン: [ "v1" ]
操作: [ "CREATE""UPDATE" ]
リソース: [ "デプロイメント" ]
検証:
-: "object.spec.replicas <= params.maxReplicas"

アドミッション ポリシー オブジェクトでは、paramKind 属性によってポリシーの構成に使用されるリソースが定義され、expression 属性では params 変数を使用してパラメーター リソースにアクセスします。

次に、それぞれ異なる構成を持つ複数のバインディングを定義できます。

 apiバージョン: admissionregistrationk8sio / v1alpha1
種類: ValidatingAdmissionPolicyBinding
メタデータ:
名前: "demo-binding-production.example.com"
仕様:
ポリシー: "demo-policy.example.com"
パラメータ参照:
名前: "demo-params-production.example.com"
一致するリソース:
名前空間セレクタ:
-キー:環境
演算子:では
​​: [ "production" ]
---
apiVersion :ルールcom / v1
種類:レプリカ制限
メタデータ:
名前: "demo-params-production.example.com"
最大レプリカ数: 1000

ここでは、CRD オブジェクトを paramsRef プロパティに関連付け、ポリシー オブジェクトの params.maxReplicas を通じてオブジェクトの maxReplicas プロパティ値を取得できるようにします。ここでは、環境タグが production に設定された名前空間内のデプロイメントを、最大 1000 レプリカに制限します。もちろん、他のバインディング オブジェクトを作成して、他の名前空間に異なる制限を設定することもできます。

 apiバージョン: admissionregistrationk8sio / v1alpha1
種類: ValidatingAdmissionPolicyBinding
メタデータ:
名前: "replicalimit-binding-test.example.com"
仕様:
ポリシー名: "replicalimit-policy.example.com"
パラメータ参照:
名前: "replica-limit-test.example.com"
一致するリソース:
名前空間セレクタ:
マッチラベル:
環境:テスト
---
apiVersion :ルールcom / v1
種類:レプリカ制限
メタデータ:
名前: "replica-limit-test.example.com"
最大レプリカ数: 3

このポリシー パラメータ リソースは、テスト環境内のすべての名前空間にわたって、デプロイメントを最大 3 つのレプリカに制限します。入場ポリシーには複数のバインディングが存在する場合があります。他のすべての環境を maxReplicas 制限 100 にバインドするには、別の ValidatingAdmissionPolicyBinding オブジェクトを作成します。

 apiバージョン: admissionregistrationk8sio / v1alpha1
種類: ValidatingAdmissionPolicyBinding
メタデータ:
名前: "レプリカ制限バインディング非テスト"
仕様:
ポリシー名: "replicalimit-policy.example.com"
パラメータ参照:
名前: "replica-limit-clusterwide.example.com"
一致するリソース:
名前空間セレクタ:
一致する表現:
-キー:環境
演算子: NotIn
: [ "テスト" ]
---
apiVersion :ルールcom / v1
種類:レプリカ制限
メタデータ:
名前: "replica-limit-clusterwide.example.com"
最大レプリカ数: 100

さらに、ポリシー オブジェクトでは、failurePolicy を使用して、アドミッション ポリシーからエラーとして評価された不正な構成や CEL 式を処理する方法を定義することもできます。この属性に許可される値には、Ignore と Fail が含まれます。

  • 無視は、ValidatingAdmissionPolicy の呼び出しエラーを無視し、API リクエストを続行することを意味します。
  • Fail は、ValidatingAdmissionPolicy の呼び出し中にエラーが発生し、その結果、アドミッションが失敗し、API 要求が拒否されたことを示します。

failurePolicy は ValidatingAdmissionPolicy オブジェクトで次のように定義されていることに注意してください。

 apiバージョン: admissionregistration.k8s.io/v1alpha1
種類: ValidatingAdmissionPolicy
仕様:
...
failurePolicy: Ignore # デフォルト値は「Fail」です
検証:
- 式: "object.spec.xyz == params.x"

前の例から、ポリシー オブジェクトでは、spec.validations[i].expression が CEL によって評価される式を表すために使用されていることがわかります。 CEL 式を通じて、入場要求/応答の内容にアクセスできます。入場要求/応答の内容は、CEL 変数とその他の変数に整理できます。

  • object - 受信リクエストからのオブジェクト、または DELETE リクエストの場合は null。
  • oldObject - 既存のオブジェクト、または CREATE リクエストの場合は null。
  • request - 入場リクエストの属性。
  • params - 評価されるポリシー バインディングによって参照されるパラメーター リソース。ParamKind が設定されていない場合は null。

apiVersion、kind、metadata.name、および metadata.generateName は、オブジェクトのルートから常にアクセスできるプロパティです。その他のメタデータ プロパティにはアクセスできません。

<<:  2022年第17回中国企業年次選考リストが発表されました:マクロシャンテクノロジーのMacroCosm27000ビエンチャン分散ストレージが2022年中国IT産業超大規模分散ストレージ優秀製品賞を受賞

>>:  2023 年のクラウド コンピューティング イノベーションの予測

推薦する

HarmonyOS における分散タスクスケジューリング

[[350822]]詳細については、以下をご覧ください。 51CTOとHuaweiが共同で構築したH...

Hostus - 香港特別 VPS 第 2 波 / 新サーバー / 特別製品が再び登場!

hostus.us の香港 VPS の第 2 波が正式に開始されました。これは引き続き IBM 傘下...

友好的なリンクを交換するための基準と注意事項について簡単に説明します

ウェブサイトの最適化に携わる人なら、ウェブサイトのランキングを決定する 3 つの要素は、フレンドリー...

キーワードランキングは常に変動しており、ウェブマスターは冷静にその理由を分析する必要がある。

ウェブマスターが最も不安に思うのは、ウェブサイトの掲載順位やスナップショットの異常な変動ではなく、ウ...

キーワード「seo」からキーワードのランキングを分析する

多くの人が「seo」というキーワードのランキングに注目していると思います。ウェブサイト「seowhy...

gigsgigscloud: 日本 cn2 gia VPS スペシャルエディション、月額 22 ドル、1G メモリ/1 コア/10gSSD/800G トラフィック

gigsgigscloud は、月額 22 ドルで 800G のトラフィックを提供する特別価格の日本...

SEO詳細の変更による影響

書き出しの書き方がわからず、とにかく少し混乱しています。今日は、私自身のヒントをいくつか共有したいと...

ソーシャルリソースを使用して外部リンクを構築する

外部リンクの構築は、ウェブサイトの最適化担当者にとって、常に日々の必須作業です。では、安定した安全な...

ネットユーザーを通じてWeiboマーケティングを実施するには?

ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスWeibo はネットユー...

ガートナー:クラウドは2025年までに普及し、企業のデジタル化の基盤となる

COVID-19パンデミックの発生以来、人々の生活やビジネス運営は根本的に変化しました。この流行によ...

raksmart: 韓国独立サーバー、月額 76 ドル、2*e5-2630/32g メモリ/1T ハードディスク/10M 帯域幅/3IP

流行病のせいか、みんな金儲けを考えている。Raksmartの韓国製格安サーバー(物理マシン)2台が前...

物理的な検索とオープンな検索: どちらが未来でしょうか?

複数の勢力の介入により、「3B戦争」は沈静化、もしくは秘密裏に争う段階に入った。この間、Google...

中国モバイルインターネット秋季レポート

2018年9月現在、中国のモバイルインターネットの月間アクティブユーザー数は11億6,700万人に達...

分散ストレージの運用と保守の方法についてお話ししましょう

序文最近、分散ストレージに多くの時間を費やしてきましたが、これ以上時間を費やしたくないので、この記事...

フォレスターが2021年のエッジコンピューティングに関する5つの予測を発表

Forrester は 2021 年の技術予測シリーズを発表しましたが、その中にはエッジ コンピュー...