Kubernetes 1.26 中更简单的准入控制实战

在 Kubernetes 1.26 中，第一个验证准入策略的 alpha 版本可用！

验证准入策略使用 通用表达语言[1](CEL) 来提供声明性的、进程内的替代方案来 验证准入 webhooks[2]。

CEL 最初被引入 Kubernetes 用于 CustomResourceDefinitions 的验证规则[3]。此增强功能扩展了 CEL 在 Kubernetes 中的使用，以支持更广泛的准入用例。

Admission webhooks 的开发和操作可能很繁琐。Webhook 开发人员必须实施和维护 Webhook 二进制文件来处理准入请求。此外，admission webhooks 操作起来很复杂。每个 webhook 都必须部署、监控并具有明确定义的升级和回滚计划。更糟糕的是，如果 Webhook 超时或变得不可用，Kubernetes 控制平面可能变得不可用。此增强功能通过将 CEL 表达式嵌入到 Kubernetes 资源中而不是调用远程 webhook 二进制文件，避免了 admission webhook 的大部分复杂性。

例如，设置 Deployment 可以拥有的副本数量限制。首先定义验证策略：

apiVersion: admissionregistration.k8s.io/v1alpha1
kind: ValidatingAdmissionPolicy
metadata:
  name: "demo-policy.example.com"
spec:
  matchConstraints:
    resourceRules:
    - apiGroups:   ["apps"]
      apiVersions: ["v1"]
      operations:  ["CREATE", "UPDATE"]
      resources:   ["deployments"]
  validations:
    - expression: "object.spec.replicas <= 5"

该expression字段包含用于验证准入请求的 CEL 表达式。matchConstraints 声明这个 ValidatingAdmisonPolicy 可以验证哪些类型的请求。

接下来将策略绑定到适当的资源：

apiVersion: admissionregistration.k8s.io/v1alpha1
kind: ValidatingAdmissionPolicyBinding
metadata:
  name: "demo-binding-test.example.com"
spec:
  policy: "demo-policy.example.com"
  matchResources:
    namespaceSelector:
    - key: environment,
      operator: In,
      values: ["test"]

此ValidatingAdmissionPolicyBinding资源仅将上述策略绑定到environment label 设置为test的命名空间。创建此绑定后，kube-apiserver 将开始执行此准入策略。

为了强调这种方法比 admission webhook 简单得多，如果这个例子是用 webhook 实现的，则需要开发和维护整个二进制文件来执行<=检查。在我们对生产中使用的各种 admission webhook 的审查中，绝大多数执行相对简单的检查，所有这些都可以使用 CEL 轻松表达。

验证准入策略是高度可配置的，使策略实施者能够定义可以参数化的策略，并根据集群管理员的需要将其限定为资源。

例如，可以修改上面的准入策略以使其可配置：

apiVersion: admissionregistration.k8s.io/v1alpha1
kind: ValidatingAdmissionPolicy
metadata:
  name: "demo-policy.example.com"
spec:
  paramKind:
    apiVersion: rules.example.com/v1 # You also need a CustomResourceDefinition for this API
    kind: ReplicaLimit
  matchConstraints:
    resourceRules:
    - apiGroups:   ["apps"]
      apiVersions: ["v1"]
      operations:  ["CREATE", "UPDATE"]
      resources:   ["deployments"]
  validations:
    - expression: "object.spec.replicas <= params.maxReplicas"

在这里，paramKind定义了用于配置策略的资源，以及 expression使用params 变量访问 parameter resource。

这允许定义多个绑定，每个绑定都有不同的配置。例如：

apiVersion: admissionregistration.k8s.io/v1alpha1
kind: ValidatingAdmissionPolicyBinding
metadata:
  name: "demo-binding-production.example.com"
spec:
  policy: "demo-policy.example.com"
  paramsRef:
    name: "demo-params-production.example.com"
  matchResources:
    namespaceSelector:
    - key: environment,
      operator: In,
      values: ["production"]

apiVersion: rules.example.com/v1 # defined via a CustomResourceDefinition
kind: ReplicaLimit
metadata:
  name: "demo-params-production.example.com"
maxReplicas: 1000

此绑定和 parameter resource 对限制 namespace 的 label 中包含 environment 为production 下 Deployments 最多 1000 个副本。

然后，您可以使用单独的绑定和参数对为test环境中的 namespace 设置不同的限制。

我希望这能让您瞥见验证准入策略的可能性！我们还没有触及许多功能。

要了解更多信息，请阅读 验证录取策略[4]。

我们正在努力为准入策略添加更多功能，并使增强功能更易于使用。尝试一下，将您的反馈发送给我们，帮助我们构建一个更简单的 admission webhook 替代方案！

参考资料

[1]

通用表达语言: https://github.com/google/cel-spec

[2]

验证准入 webhooks: https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/#what-are-admission-webhooks

[3]

CustomResourceDefinitions 的验证规则: https://kubernetes.io/docs/tasks/extend-kubernetes/custom-resources/custom-resource-definitions/#validation-rules

[4]

验证录取策略: https://kubernetes.io/docs/reference/access-authn-authz/validating-admission-policy/

- END -