[发明专利]一种基于Kubernetes构建动态资源准入控制器的方法

权利要求书

1.一种基于Kubernetes构建动态资源准入控制器的方法，其包括补丁控制器、验证控制器、自动生成控制器和命令行控制器四个组件，其特征在于，包括如下步骤：

S1、初始化系统配置至kubernetes集群中，如果配置出错，则退出系统；

S2、初始化命令行控制器、启动补丁控制器、验证控制器、自动生成控制器，若任意一个控制器出错则不断重试，直至所有控制器均正常运行，当所有组件正常运行时表示准入系统正常运行；

S3、所述命令行控制器除了初始化时自动与kube-apiserver交互，其余皆由操作人员直接操作，用于验证和应用准入策略，与apiserver进行交互；

S4、所述补丁控制器、验证控制器、自动生成控制器在kube-apiserver处理请求的流程中分别实现三个钩子拦截请求，完成准入控制的逻辑。

2.如权利要求1所述的基于Kubernetes构建动态资源准入控制器的方法，其特征在于，所述步骤S1中，所述系统配置包括：

补丁控制器、验证控制器的连接信息；

补丁控制器、验证控制器的验证信息；以及

处理来自补丁控制器、验证控制器的无法识别的错误信息提示。

3.如权利要求1所述的基于Kubernetes构建动态资源准入控制器的方法，其特征在于，所述步骤S3中，所述命令控制器的操作步骤如下：

S3.1、命令行控制器启动后，验证系统已有的准入策略，如有不完整或出错的策略，打印到日志中并将该策略配置为停用状态,正常的策略配置为激活状态，命令行控制器将一直运行在后台中，等待新的命令；

S3.2、管理员或开发者进入命令行控制器，可以验证或应用准入策略，可将多个准入策略用于多个资源，

S3.3、命令行控制器通过kube-apiserver进行策略的读取、写入和激活等操作，策略最终由kube-apiserver写入etcd存储中；

S3.4、命令行控制器针对策略进行验证时，会判断该策略由哪个控制器进行操作，再调用响应的控制器进行策略验证,验证的内容包括格式是否准确，与现有策略是否冲突；

S3.5：命令行控制器针对策略进行应用时，先按照步骤S3.4进行策略验证,验通过后通过kube-apiserver将其写入集群，验证不通过则不允许提交。

4.如权利要求1所述的基于Kubernetes构建动态资源准入控制器的方法，其特征在于，所述步骤S3.2中，所述准入策略包括补丁策略、验证策略和自动自动生成策略，每种策略分别对应一个控制器，分别为补丁控制器、验证控制器、自动生成控制器。

5.如权利要求1所述的基于Kubernetes构建动态资源准入控制器的方法，其特征在于，所述步骤S4中，所述补丁控制器的操作步骤如下：

A1、补丁控制器收到kube-apiserver的请求；

A2、补丁控制器根据资源的类型，筛选出已激活的补丁策略，如果存在已激活的补丁策略，则初始化一个空白的补丁结构，进入下一个步骤，如不包含该种类型已激活的补丁策略，进入步骤A6；

A3、循环该种类型的所有补丁策略，如还有未处理的补丁策略，进入下一个步骤，循环结束后进入步骤A6；

A4、确认kube-apiserver传输的请求是否适用当前补丁策略，如果适用则进入下一个步骤，如不适用，返回步骤A3；

A5、使用补丁策略中的内容注入步骤A2中的补丁结构，返回步骤A3；

A6、构造一个响应，与步骤A2中的补丁一起编组，然后将其发送回kube-apiserver。