政策
Kubernetes 策略是管理其他組態或執行期行為的組態。 Kubernetes 提供各種形式的策略,如下所述
使用 API 物件套用策略
某些 API 物件充當策略。 以下是一些範例
- NetworkPolicies 可用於限制工作負載的輸入和輸出流量。
- LimitRanges 管理跨不同物件種類的資源分配約束。
- ResourceQuotas 限制命名空間的資源消耗。
使用許可控制器套用策略
在 API 伺服器中運行的准入控制器可以驗證或變更 API 請求。有些准入控制器的作用是套用策略。例如,AlwaysPullImages 准入控制器會修改新的 Pod,將映像檔提取策略設定為 Always。
Kubernetes 有幾個內建的准入控制器,可以透過 API 伺服器的 --enable-admission-plugins 標記進行配置。
關於准入控制器的詳細資訊,以及可用准入控制器的完整列表,都記錄在專門的章節中
使用 ValidatingAdmissionPolicy 套用策略
驗證准入策略允許使用通用表達式語言 (CEL) 在 API 伺服器中執行可配置的驗證檢查。例如,ValidatingAdmissionPolicy 可用於禁止使用 latest 映像檔標籤。
ValidatingAdmissionPolicy 對 API 請求進行操作,可用於封鎖、稽核和警告使用者關於不合規的配置。
關於 ValidatingAdmissionPolicy API 的詳細資訊,以及範例,都記錄在專門的章節中
使用動態准入控制套用策略
動態准入控制器(或准入 Webhook)在 API 伺服器外部作為獨立應用程式執行,這些應用程式註冊以接收 Webhook 請求,從而執行 API 請求的驗證或變更。
動態准入控制器可用於在 API 請求上套用策略,並觸發其他基於策略的工作流程。動態准入控制器可以執行複雜的檢查,包括需要檢索其他叢集資源和外部資料的檢查。例如,映像檔驗證檢查可以從 OCI 登錄檔中查找資料,以驗證容器映像檔簽章和證明。
關於動態准入控制的詳細資訊都記錄在專門的章節中
實作
作為彈性策略引擎的動態准入控制器正在 Kubernetes 生態系統中開發,例如
使用 Kubelet 配置套用策略
Kubernetes 允許在每個工作節點上配置 Kubelet。某些 Kubelet 配置可作為策略
- 程序 ID 限制和保留用於限制和保留可分配的 PID。
- 節點資源管理器可以管理延遲敏感型和高吞吐量工作負載的計算、記憶體和裝置資源。
本頁上的項目參考了提供 Kubernetes 所需功能的第三方產品或專案。Kubernetes 專案作者不對這些第三方產品或專案負責。有關更多詳細資訊,請參閱 CNCF 網站指南。
在提議新增額外第三方連結的變更之前,您應該閱讀內容指南。