本發明公開了一種基于Kubernetes構建動態資源準入控制器的方法，屬于云原生的技術領域。其包括補丁控制器、驗證控制器、自動生成控制器和命令行控制器四個組件，包括如下步驟：初始化系統配置至kubernetes集群中，如果配置出錯，則退出系統；初始化命令行控制器、啟動補丁控制器、驗證控制器、自動生成控制器，若任意一個控制器出錯則不斷重試，直至所有控制器均正常運行，當所有組件正常運行時表示準入系統正常運行。本發明能夠確保應用程序在不斷變化的控制環境中保持合規，加強系統的安全性，并降低運維人員集群管理的復雜度。

技術領域

本發明屬于云原生的技術領域，尤其涉及一種基于Kubernetes構建動態資源準入控制器的方法。

背景技術

近年來，容器技術和Kubernetes平臺持續升溫，Kubernetes極大地提高了應用部署的速度和可管理性。全球范圍內各行各業都在這一輕量級虛擬化方案上進行著積極而富有成效的探索，由于其靈活性、可擴展性和易用性，Kubernetes已成為容器編排器的事實標準，迅速落地并賦能產業，大大提高了資源利用效率和生產力。隨著容器化的重要甚至核心業務越來越多，容器安全的重要性也在不斷提高。

作為一項依然處于發展階段的新技術，容器的安全性在不斷地提高，也在不斷地受到挑戰。目前尚未存在針對kubernetes平臺的動態資源準入方案，運維人員無法進行標準化的容器治理與配置管理，這無疑增大了Kubernetes集群管理的復雜程度。更重要的，沒有一個合理的安全基準來提高kubernetes集群安全性，當集群被運行未授權的容器進而用于非法目的甚至反向控制集群，一旦造成客戶損失將對企業造成了無法估量的影響。

發明內容

本發明的發明目的是提供一種基于Kubernetes構建動態資源準入控制器的方法，能夠確保應用程序在不斷變化的控制環境中保持合規，加強系統的安全性，并降低運維人員集群管理的復雜度。

為達到上述目的，本發明所采用的技術方案是：

一種基于Kubernetes構建動態資源準入控制器的方法，其包括補丁控制器、驗證控制器、自動生成控制器和命令行控制器四個組件，包括如下步驟：

S1、初始化系統配置至kubernetes集群中，如果配置出錯，則退出系統；

S2、初始化命令行控制器、啟動補丁控制器、驗證控制器、自動生成控制器，若任意一個控制器出錯則不斷重試，直至所有控制器均正常運行，當所有組件正常運行時表示準入系統正常運行；

S3、所述命令行控制器除了初始化時自動與kube-apiserver交互，其余皆由操作人員直接操作，用于驗證和應用準入策略，與apiserver進行交互；

S4、所述補丁控制器、驗證控制器、自動生成控制器在kube-apiserver處理請求的流程中分別實現三個鉤子攔截請求，完成準入控制的邏輯。

進一步的，所述步驟S1中，所述系統配置包括：

補丁控制器、驗證控制器的連接信息；

補丁控制器、驗證控制器的驗證信息；

處理來自補丁控制器、驗證控制器的無法識別的錯誤信息提示。

進一步的，所述步驟S3中，所述命令控制器的操作步驟如下：

S3.1、命令行控制器啟動后，驗證系統已有的準入策略，如有不完整或出錯的策略，打印到日志中并將該策略配置為停用狀態,正常的策略配置為激活狀態。命令行控制器將一直運行在后臺中，等待新的命令；

S3.2、管理員或開發者進入命令行控制器，可以驗證或應用準入策略，可將多個準入策略用于多個資源，