k8s学习（26）：集群安全-准入控制

准入控制

准入控制是API Server的插件集合，通过添加不同的插件，实现额外的准入控制规则。甚至于API Server的一些主要的功能都需要通过Admission Controllers（准许进入控制）实现，比如ServiceAccount

官方文档上有一份针对不同banbend准入控制器推荐列表，其中最新的1.14的推荐列表是：

NamespaceLifecycle
LimitRanger
ServiceAccount
DefaultStorageClass
DefaultTolerationSeconds
MutatingAdmissionWebhook
ValidatingAdmissionWebhook
ResourceQuota

列举几个插件的功能：

• NamespaceLifecycle：防止在不存在的namespace上创建对象，防止删除系统预置的namespace。删除namespace时，连带删除它的所有资源对象
• LimitRanger：确保请求的资源不会超过资源所在Namespace的LimitRanger的限制
• ServiceAccount：实现了自动化添加ServiceAccount
• ResourceQuota：确保请求的资源不会超过资源的ResourceQuota限制