本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。

这是尚未发布的文档。 Admission Controller 1.34-dev.

什么是 SUSE Security Admission Controller?

SUSE Security Admission Controller是Kubernetes策略引擎。 它旨在成为Kubernetes的通用策略引擎。

Admission Controller 源自一个厂商中立的 CNCF 沙盒项目,称为 Kubewarden,最初由 SUSE Rancher 创建。名称 SUSE Security Admission Controller 可能会缩短为 Admission Controller 或缩写为 SSAC。名称 Kubewarden 指的是开源社区项目。名称 Kubewarden 在整个文档中也可能用于代替 SUSE Security Admission Controller、Admission Controller 或 SSAC。

SUSE Security Admission Controller如何提供帮助?

Admission Controller在Kubernetes环境中提供策略准入和执行的灵活性。

好处和价值

  • 使用任何生成https://webassembly.org[WebAssembly]二进制文件的编程语言来编写您的策略。

  • WebAssembly使策略在处理器和操作系统之间兼容。

  • 可以重用来自其他策略引擎的策略,而无需重写它们。

  • 使用标准和安全的机制分发策略,例如https://opencontainers.org[OCI]兼容的注册表。

  • 在准入时强制执行策略,确保只有合规的工作负载运行。

  • Admission Controller审计扫描器主动并持续地检查策略执行情况。

  • 使用https://slsa.dev[SLSA](软件工件供应链级别)工具和实践验证策略。

  • SUSE Security Admission Controller提供全面的准入策略管理方法。

  • CNCF会员资格以及不断增长的开源社区和生态系统帮助Admission Controller实现透明、协作和改进。

使用案例

  • 安全强化。例如,强制执行限制容器权限的策略,强制执行网络策略,或阻止不安全的镜像注册表。

  • 合规审计。确保工作负载符合组织或监管标准和最佳实践。

  • 资源优化。强制执行资源限制和配额。

用例页面上有进一步的使用案例文档。

刚接触Admission Controller?

如果您是Admission Controller项目的新手,请从快速入门指南架构页面开始。 然后这取决于您的兴趣所在。对于策略开发者,教程中有特定语言的部分。对于集成者和管理员,有一个“操作指南”部分。解释部分包含有用的背景材料。还有一个术语表

什么是WebAssembly?

正如在https://webassembly.org/[WebAssembly的官方网站]上所述:

WebAssembly(缩写为Wasm)是一种用于基于栈的虚拟机的二进制指令格式。Wasm被设计为编程语言的可移植编译目标,使其能够在客户端和服务器应用程序的Web上部署。

Wasm最初被构思为浏览器的“扩展”。然而,WebAssembly社区正在努力允许在浏览器外执行Wasm代码。

为什么使用WebAssembly?

用户可以使用他们喜欢的编程语言编写Kubernetes策略,只要其工具链能够生成Wasm二进制文件。

Wasm模块是可移植的,一旦构建,它们可以在任何类型的处理器架构和操作系统上运行。例如,在Apple Silicon上开发和构建的策略可以在AMD64/Intel64 Linux上运行,而无需转换。

策略作者可以重用他们的技能、工具和最佳实践。策略是可以包含可重用块(常规库)的“传统”程序。您可以对它们进行 lint 检查和测试,并将它们集成到当前的 CI 和 CD 工作流中。

策略分发

您可以使用标准网络服务器提供Admission Controller策略,或者更好的是,您可以将它们发布到符合 OCI 标准的注册表中,作为https://github.com/opencontainers/artifacts[OCI 工件]。