腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
田飞雨的专栏
专注 k8s 云原生实践 个人博客:https://blog.tianfeiyu.com/
专栏作者
举报
88
文章
174450
阅读量
54
订阅数
订阅专栏
申请加入专栏
全部文章(88)
kubernetes(62)
go(40)
node.js(28)
https(24)
网络安全(22)
api(18)
容器(14)
编程算法(12)
http(11)
缓存(9)
容器镜像服务(8)
tcp/ip(7)
命令行工具(6)
负载均衡(4)
git(4)
linux(4)
负载均衡缓存(4)
NAT 网关(4)
数据分析(4)
nat(4)
android(3)
ide(3)
github(3)
私有网络(2)
c++(2)
bash(2)
数据库(2)
nginx(2)
SSL 证书(2)
云推荐引擎(2)
dns(2)
jenkins(2)
openapi(2)
官方文档(1)
javascript(1)
bootstrap(1)
access(1)
unix(1)
文件存储(1)
存储(1)
开源(1)
分布式(1)
迁移(1)
etcd(1)
搜索文章
搜索
搜索
关闭
kubernetes 自定义资源(CRD)的校验
jenkins
https
网络安全
kubernetes
openapi
在以前的版本若要对 apiserver 的请求做一些访问控制,必须修改 apiserver 的源代码然后重新编译部署,非常麻烦也不灵活,apiserver 也支持一些动态的准入控制器,在 apiserver 配置中看到的ServiceAccount,NamespaceLifecycle,NamespaceExists,LimitRanger,ResourceQuota 等都是 apiserver 的准入控制器,但这些都是 kubernetes 中默认内置的。在 v1.9 中,kubernetes 的动态准入控制器功能中支持了 Admission Webhooks,即用户可以以插件的方式对 apiserver 的请求做一些访问控制,要使用该功能需要自己写一个 admission webhook,apiserver 会在请求通过认证和授权之后、对象被持久化之前拦截该请求,然后调用 webhook 已达到准入控制,比如 Istio 中 sidecar 的注入就是通过这种方式实现的,在创建 Pod 阶段 apiserver 会回调 webhook 然后将 Sidecar 代理注入至用户 Pod。 本文主要介绍如何使用 AdmissionWebhook 对 CR 的校验,一般在开发 operator 过程中,都是通过对 CR 的操作实现某个功能的,若 CR 不规范可能会导致某些问题,所以对提交 CR 的校验是不可避免的一个步骤。
田飞雨
2019-12-20
2.3K
0
kubernetes 审计日志功能
jenkins
kubernetes
http
https
api
审计日志可以记录所有对 apiserver 接口的调用,让我们能够非常清晰的知道集群到底发生了什么事情,通过记录的日志可以查到所发生的事件、操作的用户和时间。kubernetes 在 v1.7 中支持了日志审计功能(Alpha),在 v1.8 中为 Beta 版本,v1.12 为 GA 版本。
田飞雨
2019-12-19
1.9K
0
没有更多了
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档