Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Il s'agit d'une documentation non publiée pour Admission Controller 1.34-dev.

Rédaction de SUSE Security Admission Controller politiques

Cette section présente des SUSE Security Admission Controller politiques en utilisant des analogies de l’informatique traditionnelle.

Une Admission Controller politique est comme un programme qui effectue une tâche. Elle reçoit des données d’entrée, effectue des calculs avec ces données et renvoie un résultat.

Les données d’entrée sont des demandes d’admission Kubernetes. Le résultat du calcul est une réponse de validation, qui indique à Kubernetes s’il faut accepter, rejeter ou modifier les données d’entrée, la demande d’admission.

Le composant policy-server de Admission Controller effectue ces opérations.

Le serveur de politiques n’inclut aucune capacité de traitement de données. Vous ajoutez des capacités de traitement à l’exécution avec des modules complémentaires. Ces modules complémentaires sont les Admission Controller politiques.

Ainsi, une Admission Controller politique est comme un plug-in traditionnel du programme "policy server".

En bref :

  • Les Admission Controller politiques sont des plug-ins qui exposent un ensemble de fonctionnalités bien définies (valider un objet de demande Kubernetes, valider les paramètres de politique fournis par l’utilisateur, et d’autres fonctions) en utilisant une API bien définie.

  • Le serveur de politiques est le programme "principal" qui charge les plug-ins (alias politiques) et utilise leurs fonctionnalités exposées pour accepter, rejeter ou modifier les demandes Kubernetes.

La rédaction de Admission Controller politiques consiste à écrire la logique métier de validation puis à l’exposer via une API bien définie.

Exigences en matière de langage de programmation

Vous fournissez des Admission Controller politiques sous forme de binaires WebAssembly.

Les auteurs de politiques peuvent rédiger des politiques en utilisant n’importe quel langage de programmation qui prend en charge WebAssembly comme cible de compilation. La liste des langages pris en charge évolue constamment, cette page fournit un bon aperçu du paysage WebAssembly.

Actuellement, WebAssembly n’a pas de moyen officiel de partager des types de données complexes entre l’hôte et un invité WebAssembly. Pour surmonter cette limitation, les Admission Controller politiques utilisent le projet waPC, qui fournit un canal de communication bidirectionnel.

Ainsi, le langage de programmation de votre choix doit disposer d’un SDK invité waPC disponible. Si ce n’est pas le cas, n’hésitez pas à nous contacter. L’équipe du projet peut vous aider à surmonter cette limitation.