[发明专利]一种基于Kubernetes构建动态资源准入控制器的方法

说明书

本发明公开了一种基于Kubernetes构建动态资源准入控制器的方法，属于云原生的技术领域。其包括补丁控制器、验证控制器、自动生成控制器和命令行控制器四个组件，包括如下步骤：初始化系统配置至kubernetes集群中，如果配置出错，则退出系统；初始化命令行控制器、启动补丁控制器、验证控制器、自动生成控制器，若任意一个控制器出错则不断重试，直至所有控制器均正常运行，当所有组件正常运行时表示准入系统正常运行。本发明能够确保应用程序在不断变化的控制环境中保持合规，加强系统的安全性，并降低运维人员集群管理的复杂度。

技术领域

本发明属于云原生的技术领域，尤其涉及一种基于Kubernetes构建动态资源准入控制器的方法。

背景技术

近年来，容器技术和Kubernetes平台持续升温，Kubernetes极大地提高了应用部署的速度和可管理性。全球范围内各行各业都在这一轻量级虚拟化方案上进行着积极而富有成效的探索，由于其灵活性、可扩展性和易用性，Kubernetes已成为容器编排器的事实标准，迅速落地并赋能产业，大大提高了资源利用效率和生产力。随着容器化的重要甚至核心业务越来越多，容器安全的重要性也在不断提高。

作为一项依然处于发展阶段的新技术，容器的安全性在不断地提高，也在不断地受到挑战。目前尚未存在针对kubernetes平台的动态资源准入方案，运维人员无法进行标准化的容器治理与配置管理，这无疑增大了Kubernetes集群管理的复杂程度。更重要的，没有一个合理的安全基准来提高kubernetes集群安全性，当集群被运行未授权的容器进而用于非法目的甚至反向控制集群，一旦造成客户损失将对企业造成了无法估量的影响。

发明内容

本发明的发明目的是提供一种基于Kubernetes构建动态资源准入控制器的方法，能够确保应用程序在不断变化的控制环境中保持合规，加强系统的安全性，并降低运维人员集群管理的复杂度。

为达到上述目的，本发明所采用的技术方案是：

一种基于Kubernetes构建动态资源准入控制器的方法，其包括补丁控制器、验证控制器、自动生成控制器和命令行控制器四个组件，包括如下步骤：

S1、初始化系统配置至kubernetes集群中，如果配置出错，则退出系统；

S2、初始化命令行控制器、启动补丁控制器、验证控制器、自动生成控制器，若任意一个控制器出错则不断重试，直至所有控制器均正常运行，当所有组件正常运行时表示准入系统正常运行；

S3、所述命令行控制器除了初始化时自动与kube-apiserver交互，其余皆由操作人员直接操作，用于验证和应用准入策略，与apiserver进行交互；

S4、所述补丁控制器、验证控制器、自动生成控制器在kube-apiserver处理请求的流程中分别实现三个钩子拦截请求，完成准入控制的逻辑。

进一步的，所述步骤S1中，所述系统配置包括：

补丁控制器、验证控制器的连接信息；

补丁控制器、验证控制器的验证信息；

处理来自补丁控制器、验证控制器的无法识别的错误信息提示。

进一步的，所述步骤S3中，所述命令控制器的操作步骤如下：

S3.1、命令行控制器启动后，验证系统已有的准入策略，如有不完整或出错的策略，打印到日志中并将该策略配置为停用状态,正常的策略配置为激活状态。命令行控制器将一直运行在后台中，等待新的命令；

S3.2、管理员或开发者进入命令行控制器，可以验证或应用准入策略，可将多个准入策略用于多个资源，