[TOC] # 准入控制器（Admission Controller） 准入控制器分为： * **变更准入控制**： 修改请求的对象 MutatingAdmissionWebhook * **验证准入控制**： 验证请求的对象 ValidatingAdmissionWebhook 准入控制器是在 API Server 的启动参数重配置的。 一个准入控制器可能属于以上两者中的一种，也可能两者都属于。 当请求到达 API Server 的时候首先执行变更准入控制，然后再执行验证准入控制。 **客户端 -> API Server -> 认证插件 -> 授权插件 -> 准入控制插件 -> 写入成功** ### 准入控制器列表 Kubernetes 目前支持的准入控制器有：**(还有其他没有列出来，等有需要的时候，可以再去官网查)** * **AlwaysPullImages**：此准入控制器修改每个 Pod 的时候都强制重新拉取镜像。 * **DefaultStorageClass**：此准入控制器观察创建`PersistentVolumeClaim`时不请求任何特定存储类的对象，并自动向其添加默认存储类。这样，用户就不需要关注特殊存储类而获得默认存储类。 * **DefaultTolerationSeconds**：此准入控制器将Pod的容忍时间`notready:NoExecute`和`unreachable:NoExecute`默认设置为5分钟。 * **DenyEscalatingExec**：此准入控制器将拒绝`exec`和附加命令到以允许访问宿主机的升级了权限运行的pod。 * **EventRateLimit (alpha)**：此准入控制器缓解了 API Server 被事件请求淹没的问题，限制时间速率。 * **ExtendedResourceToleration**：此插件有助于创建具有扩展资源的专用节点。 * **ImagePolicyWebhook**：此准入控制器允许后端判断镜像拉取策略，例如配置镜像仓库的密钥。 * **Initializers (alpha)**：Pod初始化的准入控制器，详情请参考[动态准入控制](https://kubernetes.io/docs/reference/access-authn-authz/extensible-admission-controllers/)。 * **LimitPodHardAntiAffinityTopology**：此准入控制器拒绝任何在`requiredDuringSchedulingRequiredDuringExecution`的`AntiAffinity`字段中定义除了`kubernetes.io/hostname`之外的拓扑关键字的 pod 。 * **LimitRanger**：此准入控制器将确保所有资源请求不会超过 namespace 的`LimitRange`。 * **NamespaceAutoProvision**：此准入控制器检查命名空间资源上的所有传入请求，并检查引用的命名空间是否存在。如果不存在就创建一个命名空间。 * **NamespaceExists**：此许可控制器检查除`Namespace`其自身之外的命名空间资源上的所有请求。如果请求引用的命名空间不存在，则拒绝该请求。 * **NamespaceLifecycle**：此准入控制器强制执行正在终止的命令空间中不能创建新对象，并确保`Namespace`拒绝不存在的请求。此准入控制器还防止缺失三个系统保留的命名空间`default`、`kube-system`、`kube-public`。 * **NodeRestriction**：该准入控制器限制了 kubelet 可以修改的`Node`和`Pod`对象。 * **OwnerReferencesPermissionEnforcement**：此准入控制器保护对`metadata.ownerReferences`对象的访问，以便只有对该对象具有“删除”权限的用户才能对其进行更改。 * **PodNodeSelector**：此准入控制器通过读取命名空间注释和全局配置来限制可在命名空间内使用的节点选择器。 * **PodPreset**：此准入控制器注入一个pod，其中包含匹配的PodPreset中指定的字段，详细信息见[Pod Preset](http://k8s.zhouwh.com/k8s_HA%E9%83%A8%E7%BD%B2%E5%8F%8A%E5%BA%94%E7%94%A8/2.3/pod-preset.md)。 * **PodSecurityPolicy**：此准入控制器用于创建和修改pod，并根据请求的安全上下文和可用的Pod安全策略确定是否应该允许它。 * **PodTolerationRestriction**：此准入控制器首先验证容器的容忍度与其命名空间的容忍度之间是否存在冲突，并在存在冲突时拒绝该容器请求。 * **Priority**：此控制器使用`priorityClassName`字段并填充优先级的整数值。如果未找到优先级，则拒绝Pod。 * **ResourceQuota**：此准入控制器将观察传入请求并确保它不违反命名空间的`ResourceQuota`对象中列举的任何约束。 * **SecurityContextDeny**：此准入控制器将拒绝任何试图设置某些升级的[SecurityContext](https://kubernetes.io/docs/user-guide/security-context)字段的pod 。 * **ServiceAccount**：此准入控制器实现[serviceAccounts的](https://kubernetes.io/docs/user-guide/service-accounts)自动化。 * **用中的存储对象保护**：该`StorageObjectInUseProtection`插件将`kubernetes.io/pvc-protection`或`kubernetes.io/pv-protection`终结器添加到新创建的持久卷声明（PVC）或持久卷（PV）。在用户删除PVC或PV的情况下，PVC或PV不会被移除，直到PVC或PV保护控制器从PVC或PV中移除终结器。有关更多详细信息，请参阅使用中的[存储对象保护](https://kubernetes.io/docs/concepts/storage/persistent-volumes/#storage-object-in-use-protection)。 #### 示例 限制最小和最大的资源使用量的限制。 ~~~ apiVersion: v1 kind: LimitRange metadata: name: cpu-limit-range spec: limits: - default: # 默认资源限制 cpu: 1000m defaultRequest: # 默认资源需求 cpu: 1000m min: # 最小资源用量 cpu: 500m max: # 最大资源用量 cpu: 2000m maxLimitRequestRatio: # 最小用量的倍数 cpu: 4 type: Container ~~~ 限制最小和最大的存储空间大小 ~~~ apiVersion: v1 kind: ResourceQuota metadata: name: quota-example spec: hard: pods: "5" requests.cpu: "1" requests.memory: 1Gi limits.cpu: "2" limits.memory: 2Gi count/deployments.apps: "1" count/deployments.extensions: "1" persistentvolumeclaims: "2" ~~~