Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Dies ist eine unveröffentlichte Dokumentation für Admission Controller 1.34-dev.

Schreiben von SUSE Security Admission Controller Richtlinien

Dieser Abschnitt führt SUSE Security Admission Controller Richtlinien anhand traditioneller Computeranalogien ein.

Eine Admission Controller Richtlinie ist wie ein Programm, das eine Aufgabe erfüllt. Es erhält Eingabedaten, führt Berechnungen mit diesen Daten durch und gibt ein Ergebnis zurück.

Die Eingabedaten sind Kubernetes-Zulassungsanfragen. Das Ergebnis der Berechnung ist eine Validierungsantwort, die Kubernetes mitteilt, ob die Eingabedaten, die Zulassungsanfrage, akzeptiert, abgelehnt oder verändert werden sollen.

Die policy-server Komponente von Admission Controller führt diese Operationen aus.

Der Policy-Server enthält keine Datenverarbeitungsfunktionen. Sie fügen zur Laufzeit mit Add-ons Verarbeitungsfunktionen hinzu. Diese Add-ons sind die Admission Controller Richtlinien.

Eine Admission Controller Richtlinie ist also wie ein traditionelles Plugin des "Policy-Server"-Programms.

Zusammenfassung:

  • Admission Controller Richtlinien sind Plugins, die eine Reihe gut definierter Funktionen (validieren eines Kubernetes-Anforderungsobjekts, validieren von vom Benutzer bereitgestellten Richtlinieneinstellungen und andere Funktionen) über eine gut definierte API bereitstellen.

  • Der Policy-Server ist das "Haupt"-Programm, das die Plugins (auch bekannt als Richtlinien) lädt und deren bereitgestellte Funktionen nutzt, um Kubernetes-Anfragen zu akzeptieren, abzulehnen oder zu verändern.

Das Schreiben von Admission Controller Richtlinien besteht darin, die Validierungslogik zu schreiben und sie dann über eine gut definierte API bereitzustellen.

Anforderungen an Programmiersprachen

Sie liefern Admission Controller Richtlinien als WebAssembly Binärdateien.

Richtlinienautoren können Richtlinien in jeder Programmiersprache schreiben, die WebAssembly als Ziel für die Kompilierung unterstützt. Die Liste der unterstützten Sprachen entwickelt sich ständig weiter, diese Seite bietet einen schönen Überblick über die WebAssembly-Landschaft.

Derzeit gibt es keinen offiziellen Weg, um komplexe Datentypen zwischen dem Host und einem WebAssembly-Gast auszutauschen. Um diese Einschränkung zu überwinden, verwenden Admission Controller Richtlinien das waPC Projekt, das einen bidirektionalen Kommunikationskanal bereitstellt.

Daher muss Ihre bevorzugte Programmiersprache ein verfügbares waPC-Gast-SDK haben. Wenn das nicht der Fall ist, zögern Sie nicht, sich zu melden. Das Projektteam kann Ihnen helfen, diese Einschränkung zu überwinden.