2.3.4       准入控制

准入控制器是对象持久化之前插入的一段代码，在身份认证和鉴权步骤之后，拦截对KubernetesAPIServer的请求。它们以插件的形式运行在 APIServer中，作用分别是变更用户提交的资源对象信息、校验用户提交的资源对象信息，或者两者都有。

准入控制过程分为两个阶段：第一阶段，运行MutatingAdmission控制器；第二阶段，运行   ValidatingAdmission   控制器。如果任一阶段的任何控制器拒绝了该请求，则整个请求将立即被拒绝，并且将错误返回给最终用户。

APIServer 支持同时开启多个准入控制器的功能，通过   --enable-admission-plugins配置，如果开启了多个准入控制器，在运行时会按照顺序执行准入控制器。下面是几种常用的准入控制器。

（1）  AlwaysPullImages：此准入控制器会将 Pod 的拉取镜像策略强制修改成 Always，保护多租户集群中用户镜像。

（2）  PodNodeSelector：此准入控制器通过读取名称空间批注和全局配置来默认并限制在 Namespace中可以使用哪些节点选择器。

（3）  DefaultStorageClass：此准入控制器会为 PersistentVolumeClaim 对象添加默认的 StorageClass。

（4）  ExtendedResourceToleration：集群中如果有特殊硬件节点，为了避免不让不使用这些特殊硬件的 Pod 运行在这些节点上，一般会给节点打污点。Pod要想运行在这个节点上必须容忍污点，这个控制器会自动为 Pod配置容忍污点。

（5） EventRateLimit：此准入控制器限制 Event请求的速度，缓解了 APIServer的压力。 

（6）  ImagePolicyWebhook：通 过 WebHook决 定 Image策 略， 需 要 同 时 配 置--admission-control-config-file。

（7）  LimitPodHardAntiAffinityTopology：此准入控制器在 Pod亲和性和反亲和性中限制 Pod的 TopologyKey只能是 kubernetes.io/hostname，否则拒绝。

（8）  LimitRanger：此准入控制器会为 Pod设置默认资源请求和限制，要提前创建LimitRange对象。

（9）  MutatingAdmissionWebhook：此准入控制器会向WebHook服务器发送请求，用于变更用户提交的资源对象信息。

（10）   NamespaceAutoProvision：此准入控制器检查Namespace范围内资源的请求，如果不存在 Namespace，则需要创建。

（11）  NamespaceExists：此准入控制器检查 Namespace 范围内资源的请求，如果不存在 Namespace，那么拒绝请求。

（12）  NamespaceLifecycle：此准入控制器会禁止在一个正在被停止的Namespace中创建对象，并拒绝使用不存在的 Namespace的请求，它还会禁止删除 Default、Kube-system和Kube-public这 3个 Namespace。

（13）   NodeRestriction：此准入控制器会限制 Kubelet 只可以修改 Node和 Pod 对象。

（14）  OwnerReferencesPermissionEnforcement：此准入控制器保护对对象的metadata.ownerReferences的访问，只有对该对象具有“删除”权限的用户才能更改它。

（15）  PersistentVolumeClaimResize：此准入控制器会禁止修改 PersistentVolumeClaim的大小，除非在 StorageClass中设置了 allowVolumeExpansion为 True。

（16）   PodSecurityPolicy：此准入控制器在 Pod 创建和修改时起作用，并根据请求的安全上下文和可用的Pod安全策略确定是否拒绝 Pod。

（17）  ResourceQuota：此准入控制器将观察传入的请 求，并确保它不违反Namespace中 ResourceQuota对象中枚举的任何约束。 如果在 Kubernetes部署中使用ResourceQuota对象，则必须使用此准入控制器来实施配额约束。

（18）   ServiceAccount：此准入控制器实现 ServiceAccounts 的自动化。

（19）   StorageObjectInUseProtection：此准入控制器会保护正在使用的PV和 PVC不被删除。

（20）   TaintNodesByCondition：此准入控制器将新创建的 Node标记为 NotReady和NoSchedule。

（21）  ValidatingAdmissionWebhook：此准入控制器使用 WebHook验证请求和用户提交资源的信息。