问如何在GKE集群上启用DefaultStorageClass准入控制器？

EN

不可能修改已启用的准入控制器，因为这将需要修改GKE服务器配置选项，而这在--enable-admission-plugins上是不可能的，目前也没有任何替代方法来设置此选项。

现在，看一下前面提到的每个控制器：

• DefaultStorageClass -此准入控制器在GKE中启用。您可以检查标准的预先创建的存储类是否具有storageclass.kubernetes.io/is-default-class: "true"注释。要使用不同的SC作为默认设置，请从标准存储类中删除此注释，然后将其添加到您选择的SC中。

• StorageObjectInUseProtection -此准入控制器在GKE中启用，您可以观察到kubernetes.io/pv-protection和kubernetes.io/pvc-protectionfinalizers分别添加到PV。PVC，正在使用中，阻止其删除。

• PersistentVolumeClaimResize -此准入控制器也在GKE中启用。您可以通过使用allowVolumeExpansion: false注释1创建一个存储类来验证这一点(请注意，标准SC允许扩展)，创建一个PVC并尝试增加它的大小。您将收到如下错误消息：

错误: persistentvolumeclaims "my- pvc“无法修补: persistentvolumeclaims "my- pvc”被禁止:只能调整动态提供的pvc的大小，并且提供pvc的存储类必须支持调整的大小。

最后，如果你想启用一个在GKE上实际上没有启用的控制器，你需要重新实现并将其作为一个独立的服务部署到你的集群中，并使用K8s的ValidatingWebhookConfiguration或MutatingWebhookConfiguration通过webhook 2连接你的服务。除了从头开始实现这一点之外，还有许多项目可以提供帮助，OPA Gatekeeper 3和Metacontroller 4列出了一些示例。