Kubernetes 1.26 の変更ログに、検証アドミッション ポリシー更新のアルファ バージョンが見つかりました。実際、アドミッション制御に特定の言語を使用することも可能です。以前、ポリシー管理は OPA や kyverno などを通じて実行できることを紹介しましたが、これらの方法は公式のデフォルトの方法ではありません。現在、公式が組み込みメソッドを提供しています。アドミッション ポリシーを検証する場合、共通式言語 (CEL) を使用して、検証アドミッション Webhook を検証するための宣言型のインプロセス代替メソッドを提供できます。 CEL は、CustomResourceDefinitions の検証ルールのために Kubernetes に初めて導入されました。この改善により、Kubernetes での CEL の使用が大幅に拡大し、より幅広いアドミッション ユース ケース シナリオをサポートできるようになります。 CELとはCEL は、高速、移植性があり、安全に実行できるように設計された、チューリング完全ではない式言語です。 CEL はスタンドアロンで使用することも、より大きな製品に組み込むこともできます。 CEL はユーザー コードを安全に実行できる言語として設計されており、ユーザーの Python コードで eval() を盲目的に呼び出すのは危険ですが、ユーザーの CEL コードは安全に実行できます。 CEL はパフォーマンスを低下させる動作を防止するため、ナノ秒からマイクロ秒の時間スケールで安全に評価できます。パフォーマンスが重要となるアプリケーションに最適です。 CEL は、単一行関数やラムダ式に似た式を評価します。 CEL はブール値の決定によく使用されますが、JSON や protobuf メッセージなどのより複雑なオブジェクトの構築にも使用できます。 CEL の C のような構文は、C++、Go、Java、TypeScript の同等の式とほぼ同じです。 resource.name.startWith("/groups/" + auth.claims.group) // resource.name が group で始まるかどうかを確認します CEL 言語の完全な構文については、公式 Web サイト https://github.com/google/cel-spec を参照してください。 アクセス戦略アドミッション コントローラーの開発と運用は非常に面倒であることは承知しています。 Webhook プログラムの開発に加えて、入場リクエストを処理するための Webhook バイナリ ファイルも維持する必要があります。入場ウェブフックの操作も非常に複雑です。各 Webhook は展開、監視され、明確なアップグレードおよびロールバック計画が必要です。 Webhook がタイムアウトしたり利用できなくなったりすると、Kubernetes コントロール プレーンが利用できなくなる可能性があり、大きな影響が生じます。リモート Webhook プログラムを呼び出す代わりに、CEL 式を Kubernetes リソースに埋め込むことでアドミッション ポリシーを実装できるようになりました。これにより、アドミッション Webhook の複雑さが大幅に軽減されます。 ポリシー管理は通常、次の 3 つのリソースで構成されます。
ポリシーを有効にするには、少なくとも 1 つの ValidatingAdmissionPolicy と対応する ValidatingAdmissionPolicyBinding を定義する必要があります。パラメータを通じて ValidatingAdmissionPolicy を構成する必要がない場合は、ValidatingAdmissionPolicy で spec.paramKind を設定しないでください。 非常に単純な例として、たとえば、デプロイメントが持つことができるレプリカの数に制限を設定する場合は、検証戦略リソース オブジェクトを次のように定義できます。 apiバージョン: admissionregistration 。 k8s 。 io / v1alpha1 オブジェクト内の式フィールドの値は、入場要求を検証するために使用される CEL 式です。ここで設定した object.spec.replicas <= 5 は、オブジェクトの spec.replicas 属性の値が 5 より大きいかどうかを確認する必要があることを意味します。matchConstraints 属性は、ValidatingAdmissionPolicy オブジェクトが検証できるリクエストの種類を宣言します。ここでは、Deployment リソース オブジェクトをターゲットにします。 次に、このポリシーを適切なリソースにバインドします。 apiバージョン: admissionregistration 。 k8s 。 io / v1alpha1 この ValidatingAdmissionPolicyBinding リソースは、上記で宣言した demo-policy.example.com ポリシーを、環境ラベルが test に設定された名前空間にバインドします。バインディング オブジェクトが作成されると、kube-apiserver はこのアドミッション ポリシーの適用を開始します。 簡単な比較ができます。上記の機能をアドミッションウェブフックの開発で実装する場合、<= チェックを実行するプログラムを開発し、保守する必要があります。非常に単純な機能ですが、他にも多くの作業が必要です。また、実際の作業では、比較的単純なチェックがほとんどであり、CEL を使用して簡単に表現できます。 さらに、検証許可ポリシーは高度に構成可能です。必要に応じてポリシーを定義し、クラスター管理者のニーズに応じてリソースをパラメーター化できます。たとえば、上記のアドミッションポリシーを変更して構成可能にすることができます。 apiバージョン: admissionregistration 。 k8s 。 io / v1alpha1 アドミッション ポリシー オブジェクトでは、paramKind 属性によってポリシーの構成に使用されるリソースが定義され、expression 属性では params 変数を使用してパラメーター リソースにアクセスします。 次に、それぞれ異なる構成を持つ複数のバインディングを定義できます。 apiバージョン: admissionregistration 。 k8s 。 io / v1alpha1 ここでは、CRD オブジェクトを paramsRef プロパティに関連付け、ポリシー オブジェクトの params.maxReplicas を通じてオブジェクトの maxReplicas プロパティ値を取得できるようにします。ここでは、環境タグが production に設定された名前空間内のデプロイメントを、最大 1000 レプリカに制限します。もちろん、他のバインディング オブジェクトを作成して、他の名前空間に異なる制限を設定することもできます。 apiバージョン: admissionregistration 。 k8s 。 io / v1alpha1 このポリシー パラメータ リソースは、テスト環境内のすべての名前空間にわたって、デプロイメントを最大 3 つのレプリカに制限します。入場ポリシーには複数のバインディングが存在する場合があります。他のすべての環境を maxReplicas 制限 100 にバインドするには、別の ValidatingAdmissionPolicyBinding オブジェクトを作成します。 apiバージョン: admissionregistration 。 k8s 。 io / v1alpha1 さらに、ポリシー オブジェクトでは、failurePolicy を使用して、アドミッション ポリシーからエラーとして評価された不正な構成や CEL 式を処理する方法を定義することもできます。この属性に許可される値には、Ignore と Fail が含まれます。
failurePolicy は ValidatingAdmissionPolicy オブジェクトで次のように定義されていることに注意してください。 apiバージョン: admissionregistration.k8s.io/v1alpha1 前の例から、ポリシー オブジェクトでは、spec.validations[i].expression が CEL によって評価される式を表すために使用されていることがわかります。 CEL 式を通じて、入場要求/応答の内容にアクセスできます。入場要求/応答の内容は、CEL 変数とその他の変数に整理できます。
apiVersion、kind、metadata.name、および metadata.generateName は、オブジェクトのルートから常にアクセスできるプロパティです。その他のメタデータ プロパティにはアクセスできません。 |
>>: 2023 年のクラウド コンピューティング イノベーションの予測
[[350822]]詳細については、以下をご覧ください。 51CTOとHuaweiが共同で構築したH...
hostus.us の香港 VPS の第 2 波が正式に開始されました。これは引き続き IBM 傘下...
ウェブサイトの最適化に携わる人なら、ウェブサイトのランキングを決定する 3 つの要素は、フレンドリー...
ウェブマスターが最も不安に思うのは、ウェブサイトの掲載順位やスナップショットの異常な変動ではなく、ウ...
多くの人が「seo」というキーワードのランキングに注目していると思います。ウェブサイト「seowhy...
gigsgigscloud は、月額 22 ドルで 800G のトラフィックを提供する特別価格の日本...
書き出しの書き方がわからず、とにかく少し混乱しています。今日は、私自身のヒントをいくつか共有したいと...
外部リンクの構築は、ウェブサイトの最適化担当者にとって、常に日々の必須作業です。では、安定した安全な...
ショートビデオ、セルフメディア、インフルエンサーのためのワンストップサービスWeibo はネットユー...
COVID-19パンデミックの発生以来、人々の生活やビジネス運営は根本的に変化しました。この流行によ...
流行病のせいか、みんな金儲けを考えている。Raksmartの韓国製格安サーバー(物理マシン)2台が前...
複数の勢力の介入により、「3B戦争」は沈静化、もしくは秘密裏に争う段階に入った。この間、Google...
2018年9月現在、中国のモバイルインターネットの月間アクティブユーザー数は11億6,700万人に達...
序文最近、分散ストレージに多くの時間を費やしてきましたが、これ以上時間を費やしたくないので、この記事...
Forrester は 2021 年の技術予測シリーズを発表しましたが、その中にはエッジ コンピュー...