在部署创建/更新时不会调用变异的准入控制器
在部署创建/更新时不会调用变异的准入控制器,意味着在部署过程中不会触发准入控制器的变异操作。
准入控制器是Kubernetes中的一种资源管理机制,用于对资源的创建、更新和删除进行控制和限制。它可以通过自定义的策略来验证和拒绝对资源的操作,以确保集群的安全性和稳定性。
在部署创建/更新时不调用变异的准入控制器可能会导致以下情况:
- 安全风险增加:准入控制器通常用于验证资源的权限和合规性,如果不调用变异的准入控制器,可能会导致未经授权的资源被创建或更新,增加了安全风险。
- 资源冲突:准入控制器可以对资源的属性进行验证,以确保资源之间的兼容性和一致性。如果不调用变异的准入控制器,可能会导致资源之间的冲突,例如不兼容的标签、标签重复等。
- 集群稳定性下降:准入控制器可以限制资源的创建和更新频率,以避免集群过载和资源竞争。如果不调用变异的准入控制器,可能会导致资源的过度创建和更新,降低集群的稳定性和性能。
为了解决这个问题,可以通过以下方式进行改进:
- 检查准入控制器配置:确保准入控制器的配置正确,并且在部署创建/更新时会被调用。
- 检查资源规范:确保资源的规范符合准入控制器的验证规则,例如标签、资源配额等。
- 定期审查准入控制器策略:定期审查准入控制器的策略,确保其与实际需求和安全要求相符。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云容器服务(Tencent Kubernetes Engine,TKE):https://cloud.tencent.com/product/tke
- 腾讯云云原生应用平台(Tencent Cloud Native Application Platform,TCNAP):https://cloud.tencent.com/product/tcnap
- 腾讯云安全中心(Tencent Cloud Security Center):https://cloud.tencent.com/product/ssc
- 腾讯云访问管理(Tencent Cloud Access Management,CAM):https://cloud.tencent.com/product/cam
相关·内容
我还有一个MutatingWebhookConfiguration监控(并最终改变)部署对象。 - operations: ["CREATE","UPDATE"] apiVersions在MutatingWebhookC
浏览 8提问于2019-08-06得票数 0
回答已采纳
变异的准入控制器可以通过连接到api服务器来更新/创建另一个对象吗?我看到我们可以使用JSON Patch通过Admission Review来改变入站对象,但是我可以扩展它来创建一个完全不同的对象吗?谢谢!!-Sreeni
浏览 2提问于2019-08-08得票数 0
我在Kubernetes中创建了一个准入web钩子,包括用于部署和StatefulSet的资源。在库伯奈特的StatefulSets中是否支持接纳控制器?我使用的是1.16版本。在文件中:
apiVersion: admissionr
浏览 0提问于2020-07-16得票数 2
回答已采纳
我在努力寻找一种方法?如果我创建了一个新的名称空间,那么我希望它自动为该serviceaccount创建一个RBAC规则。我知道一种方法是创建一个操作符,这样协调器/ api服务器会跟踪一个事件,它会根据CRD创建资源。还有没有其他方法?
浏览 27提问于2020-09-19得票数 0
当使用不存在的镜像更新部署时,Kubernetes first将开始终止现有的pod,并将以中断的部署结束。是否可以在销毁已有实例前告知kubectl验证/拉取镜像?
浏览 14提问于2018-07-19得票数 0
回答已采纳
我的目标是设置configmap,然后在spark应用程序中使用配置文件。test_tracker]username = TEST我通过运行以下命令创建了配置映射但是我无法在给定的路径下看到我的配置文件,我不明白为什么。当pod正在执行时,我这样做:
kubectl exec --stdin --tty test-driver --
浏览 0提问于2021-03-03得票数 2
1回答
我在Kubernetes集群中创建了一个变异的准入webhook。api突变webhook为部署YAML增加了容忍度。occurred: jsonpatch add operation does not apply: doc is missing path: "/spec/template/spec/tolerations/"
我的Yamlop": "add", &quo
浏览 11提问于2020-06-03得票数 1
我为kubernetes准备了一个变异的入院钩子。它在我第一次使用helm部署和应用程序时调用。但是当我使用helm更新时,它不会被调用。如果我更改部署的版本号,它实际上会调用它。但是如果只有内容发生了变化,那么它就会跳过调用钩子。
我如何才能让它总是调用任何部署的钩子?resources: ["pod",&
浏览 9提问于2019-03-28得票数 0
有一些很棒的,如、StorageObjectInUseProtection、PersistentVolumeClaimResize,它们为您的集群带来了一些k8s最佳实践。为了启用准入控制器,您必须拥有对GKE server的管理员访问权限,但在k8s上您没有。注意:我在过去看到的相关问题很少,但没有像和这样的答案。
浏览 2提问于2020-08-19得票数 0
我希望在GKE中实现"PodNodeSelector“。我想将我的工作节点划分为性能、阶段和生产命名空间组。我没有使用节点选择器(节点亲和性)或污染/容忍,因为我想为每个环境使用相同的部署模板文件。worker1/2 -> Namespace perfworker 5/6 -> Namespace prod
我可以在普通的k8s集群中使用
浏览 1提问于2019-12-15得票数 0
1回答
使用标准部署没有问题:但是使用本机服务-存在一些问题:
apiVersion: serving.knative.dev
浏览 8提问于2021-12-25得票数 0
4回答
有没有办法限制Kubernetes集群一次部署的数量?对于滚动部署和100%正常运行时间,一次更新所有部署可能会使节点超载。我知道可以限制每个命名空间部署的pod数量,但我想知道是否也可以用类似的方式限制同时部署。例如,一次最多部署10个。我可能会立即给发送到k8s应用程序接口的部署数量设置一个限制,但如果有一个我可以使用的设置,那就更好了。
浏览 35提问于2018-02-07得票数 1
回答已采纳
是否有任何方法来重命名复制控制器以供滚动更新命令获取?问题是我的滚动更新在中间失败,有以下错误:
服务器错误:客户端: etcd群集不可用或配置错误;错误#0:读取tcp 172.17.22.102:55398-其次,正如您所看到的,它在重命名步骤中失败了。因此,我的滚动更新java代码在执行时正在寻找xx复制控制器来执行滚动更新,因为现在它被称为xx-3
浏览 0提问于2018-06-04得票数 0
通过阅读hello world类型的示例,我对CRD有了相当多的了解。我不认为我的用例需要CRD。您能否列出CRD解决的业务用例?
更新:我所说的业务用例是指组织中使用CRD实现的需求。示例:在"prod“命名空间中部署的每个应用程序都应该具有最小pod副本数2。定义一个CRD来存储最小副本数,并在准入控制器中使用该CRD (实例)来执行该要求?我不确定这种方法是否有效。
浏览 2提问于2018-12-20得票数 1
我想在扩展之前根据自定义逻辑验证部署。我创建了一个准入webhook来实现这一点,但不幸的是,这个缩放操作没有被webook发现。resources: scope: '*' timeoutSeconds: 10
如果我创建或更新了部署不幸的是,如果我使用kubectl scale .,web钩子服务器不会</em
浏览 5提问于2022-05-23得票数 1
回答已采纳
我想在一个带标签的节点中部署一个命名空间的pod。在命名空间和podNodeSelector准入控制器上使用注释是可能的。(在命名空间上添加这样的注释:"scheduler.alpha.kubernetes.io/node-selector: key=value",pods会自动调度到标有key=value的节点上)如何在我认为唯一的方法是创建一个验证
浏览 18提问于2020-10-14得票数 0
回答已采纳
1回答
方法是否返回托管实体?
、、、、
我有一个控制器,它为POST请求提供服务(文件上传),但实际上提供了一个更新。逻辑非常简单:-通过id查找对象如果我们没有这样的对象返回BAD_REQUEST否则更新查找对象并返回更新为ResponseEntitypublic ResponseEntity,我们更新检索到的实体(最后由CrudRepository#findOne),并提供更新并保存回DB值。我的</em
浏览 4提问于2017-02-14得票数 2
回答已采纳
1回答
目前,我正在通过以下操作更新数据库中的多个行:
我在post中获取一个数组并循环它,每个成员都是一个fieldname=>value数组,我正在对每个成员进行更新。问题是,当我以这种方式更新时,我设置的变异器不会运行。是否有另一种方式来更新是有效的,并将调用变异器?
浏览 2提问于2014-05-09得票数 2
回答已采纳
我使用gatekeeper/OPA为在特定命名空间中运行的各种服务创建约束。为此,我依赖于namespaceSelectors来将约束与一组名称空间相匹配。我的CI/CD过程负责用我的约束所需要的标签来标记我所有的自定义名称空间。
但是,我现在需要确保没有所需的标签就不会创建新的命名空间(否则这个名称空间将忽略我的所有约束)。事实上,我的CI/CD工具
浏览 3提问于2020-01-01得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
