Edited at

Kubernetes: Admission Control (1.8)

More than 1 year has passed since last update.


はじめに


Admission Controlとは

Admission ControlとはKubernetesのAPI Serverのリクエスト制御の機能です。APIリクエストに対して認証、認可を行ったあとのフェーズで、別途そのリクエストを受け入れるか制御を行います。また場合によって、リクエストの変更や別の操作を行います。

プラグイン形式で複数の制御の方法が用意されており、APIの起動オプション--admission-controlで有効にしたいものをカンマ区切りで指定します。


上記エントリは 1.2 時点でのプラグインを紹介していますが、ここでは 1.2 から 1.8 までに新たに追加されたプラグインについて記載します。


プラグイン一覧


DefaultStorageClass

PersistentVolumeClaim .spec.storageClassName"" に設定されている場合に、デフォルトで使われる StorageClass を設定するためのプラグイン。デフォルトの StorageClass を指定するためには対象の StorageClass オブジェクトの storageclass.kubernetes.io/is-default-class アノテーションを true に設定する必要がある。


DefaultTolerationSeconds

taints notready:NoExecuteunreachable:NoExecute を許容する時間のデフォルトを5分に設定する。effect NoExecute がノードに追加されると、Pod はただちに eviction されるが、NoExecute を許容する Pod の場合、tolerationSeconds に設定された秒数待ってから eviction される。設定されている秒数内に taint が取り除かれたら eviction は実行されない。


EventRateLimit (alpha)

apiserver がイベントリクエストにより高負荷になることを抑制するプラグイン。Server (全てのイベントリクエスト)、Namespace, User, SourceAndObject 単位で予算を設定することができる。


GenericAdmissionWebhook (alpha)

任意のサーバへの Webhook の結果によりリクエストを受け入れるか制御するプラグイン。

リクエスト内容を操作する必要が有る場合は、Initialziers を利用する必要がある。


ImagePolicyWebhook

Pod に含まれるコンテナイメージにポリシーを適応するプラグイン。任意のサーバへの Webhook により決定される。


Initializers (alpha)

動的にリクエストの内容を操作するためのプラグイン。サイドカーを自動的に Pod に挿入するなどの利用用途がある。

リクエストの内容を操作する必要がない場合は、GenericAdmissionWebhook の利用を推奨する。


LimitPodHardAntiAffinity

requiredDuringSchedulingRequiredDuringExecutionkubernetes.io/hostname 以外のキーで AntiAffinity が定義されている Pod を拒否するプラグイン。

AFFINITY SELECTOR
REQUIREMENTS MET
REQUIREMENTS NOT MET
REQUIREMENTS LOST

requiredDuringSchedulingIgnoredDuringExecution
Run
Fails
Keeps Running

preferredDuringSchedulingIgnoredDuringExecution
Run
Runs
Keeps Running

requiredDuringSchedulingRequiredDuringExecution
Run
Fails
Fails


NamespaceAutoProvision

名前空間に属するリソースが作成される際に、名前空間が既に存在しなければ作成するプラグイン。通常は名前空間が存在しなければリソースの作成に失敗する。


NamespaceExists

名前空間に属するリソースが作成される際に、名前空間が既に存在しなければリクエストを拒否するプラグイン。


NodeRestriction

kubelet が操作できる NodePod オブジェクトを制限するプラグイン。kubelet は自身が動作しているノード以外のオブジェクトも操作できていたが、本来は自身のノードに属するオブジェクトのみを操作できれば十分だった。


OwnerReferencesPermissionEnforcement

削除権限を持つユーザの操作以外でオブジェクトの metadata.ownerReferences を変更できないように制御するプラグイン。metadata.ownerReferences は、対象のオブジェクトを作成した親オブジェクトを記録するために利用される。


PersistentVolumeLabel (DEPRECATED)

GCE と AWS などにおいて cloud provider により定義される PersistentVolume に region または zone ラベルを自動的に付与するプラグインだったが、廃止されている。代わりに PersistentVolumeLabelController がこの機能を代替している。


PodNodeSelector

クラスタワイドまたは Namespace レベルで利用できる node selectors を制限するプラグイン。クラスタワイドで制限する場合は、kube-apiserver --admission-control-config-file で設定する。Namespace レベルで制限する場合は、annotation scheduler.alpha.kubernetes.io/node-selector で設定する。


PersistentVolumeClaimResize

PersistemtVolumeClaim のリサイズ要求を検証するプラグイン。PersistentVolumeClaim のリサイズは 1.8 時点で alpha であり、FeatureGates で明示的に有効にする必要がある。この機能を利用する場合は、このプラグインをあわせて利用することが推奨されている。


PodPreset

一致する PodPreset の特定のフィールドを Pod に挿入するプラグイン。PodPreset を利用する場合、合わせてこのプラグインを利用する必要がある。


PodSecurityPolicy

Pod の作成と変更に際し、要求される SecurityContext と有効な PodSecurityPolicy をもとにリクエストを許可するかどうか決定するプラグイン。


PodTolerationRestriction

最初に Pod の tolerations とその Namespace の tolerations とで衝突しているかを検証し、衝突している場合 Pod のリクエストを拒否する。その後、Namespace の tolerations に Pod の tolerations をマージし、その結果を Namespace の tolerations ホワイトリストと照らし合わせて、もし失敗したら Pod のリクエストを拒否する。


Priority

Pod .spec.priorityClass フィールドに設定されている名前からプライオリティの数値を設定するプラグイン。もし設定されている PriorityClass が見つからなければ、その Pod は拒否される。