쿠버네티스 Admission Controller(Mutating / Validating) 개념 및 설정

1. 개념

• 쿠버네티스에서 파드 등의 리소스를 생성하는 경우 접근권한은 3단계를 거치게 됨
  - Authentication(인증) → Authorization(인가) → Admission Control
• 인증·인가에서는 인가된 사용자인지, 적절한 권한이 있는지를 확인함
• Admission Control은 인가되고 권한을 보유한 이용자의 액션에 대해 관리자가 정의한 설정을 적용하도록 강제함
• Admission Control로 핸들링이 가능한 액션(플러그인)은 링크에서 확인 가능

2. Admission Controller 예시

• kube-api의 --enable-admission-plugins에 NamespaceAutoProvision 설정
• ns 목록 확인
• 존재하지 않는 ns에 파드 생성
• 자동으로 ns가 생성 및 파드가 생성됨을 확인

3. Mutating / Validating

• Admission Controller의 세부 동작 단계로서 Mutating이 먼저 수행되고 그 다음 Validating을 수행
  • Mutating : API 요청을 검사해 관리자가 정의한 규칙에 어긋나는 경우 요청 내용을 수정
  • Validating : API 요청의 유효성을 검사하여 요청을 거절 또는 승인

4. 참고

1. https://www.udemy.com/course/certified-kubernetes-application-developer/
2. https://coffeewhale.com/kubernetes/admission-control/2021/04/28/opa1/
3. https://passwd.tistory.com/entry/Validating-Mutating-Admission-Controllers
4. https://blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=alice_k106&logNo=221546328906