原生支持的准入策略管理-K8s (什么是原生支持)

教程大全 2025-07-16 15:56:49 浏览次

K8s 原生支持的准入策略管理

2023-01-04 17:42:22CEL 最开始被引入到 Kubernetes 中来是用于 CustomResourceDefinitions 的验证规则，此次改进则大大扩展了 CEL 在 Kubernetes 中的使用，可以支持更广泛的准入用例场景。

在 Kubernetes 1.26 发布的 changelog 中，发现了一个 alpha 版本的验证准入策略的更新，其实就是可以用一种特定的语言来进行准入控制，以前我们介绍过可以通过OPA、kyverno等方式来进行策略管理，但是这些方式并非官方默认的方式，而现在官方提供了一种自带的方式，在验证准入策略时可以使用一种通用的表达式语言（CEL）来提供声明的、进程内的替代方法来验证validating admission webhook。

CEL 最开始被引入到 Kubernetes 中来是用于CustomResourceDefinitions的验证规则，此次改进则大大扩展了 CEL 在 Kubernetes 中的使用，可以支持更广泛的准入用例场景。

CEL 是一种非图灵的完整表达式语言，被设计为快速、可移植和安全执行，CEL 可以单独使用，也可以嵌入到一个更大的产品中。

CEL 被设计成一种可以安全执行用户代码的语言，虽然在用户的 python 代码上盲目地调用eval()是危险的，但你可以安全地执行用户的 CEL 代码。因为 CEL 防止了会使其性能降低的行为，它可以在纳秒到微秒的时间内安全地进行评估；它是性能关键型应用的理想选择。CEL 评估表达式，这类似于单行函数或 lambda 表达式。虽然 CEL 通常用于布尔决策，但它也可用于构建更复杂的对象，如 Json 或 protobuf 消息。

CEL 的类 C 语法看起来与 C++、Go、Java 和 TypeScript 中的等价表达式几乎是相同的。

resource.name.startWith("/groups/" + auth.claims.group) // 检测resource.name是否以group开头

关于 CEL 语言的完整语法可以参考官网。

我们知道准入控制器的开发和操作是非常繁琐的，除了要开发 Webhook 程序之外，还需要维护 Webhook 二进制文件来处理准入请求，admission webhook 的操作也都很复杂，每个 webhook 都必须部署、监控，并要有一个明确的升级和回滚计划，如果你的 webhook 超时或不可用了，那么 Kubernetes 控制平面可能会变得不可用，影响面非常大。现在我们可以通过将 CEL 表达式嵌入到 Kubernetes 资源中，而不是调用远程 webhook 程序来实现准入策略，这样就大大降低了 admission webhook 的复杂性。

策略管理通常由三个资源组成：

至少必须定义一个ValidatingAdmissionPolicy和一个相应的ValidatingAdmissionPolicyBinding才能使策略生效。如果不需要通过参数配置ValidatingAdmissionPolicy，只不设置ValidatingAdmissionPolicy中的spec.paramKind即可。

一个很简单例子，例如我们要设置 Deployment 可以拥有的副本数量限制，那么可以定义如下所示的验证策略资源对象：

该对象中的expression字段的值就是用于验证准入请求的 CEL 表达式，我们这里配置的object.spec.replicas <= 5，就表示要验证对象的spec.replicas属性值是否大于 5，而matchConstraints属性则声明了该ValidatingAdmissionPolicy对象可以验证哪些类型的请求，我们这里是针对 Deployment 资源对象。

接下来我们可以将该策略绑定到合适的资源：

此ValidatingAdmissionPolicyBinding资源会将上面声明的demo-policy.example.com策略绑定到environment标签设置为test的命名空间，一旦创建该绑定对象后，kube-apiserver 将开始执行这个准入策略。

我们可以简单对比下，如果是通过开发 admission webhook 来实现上面的功能，那么我们就需要开发和维护一个程序来执行<=的检查，虽然是一个非常简单的功能，但是要做非常多的其他工作，而且在实际工作中，绝大多数也是执行一些相对简单的检查，这些我们都可以很容易使用 CEL 来进行表达。

此外验证准入策略是高度可配置的，我们可以根据需要定义策略，可以根据集群管理员的需求对资源进行参数化，例如我们可以修改上面的准入策略以使其具有可配置性：

在该准入策略对象中，paramKind属性定义了用于配置策略的资源，在expression属性中我们使用了params变量来访问参数资源。

然后我们可以定义多个绑定，每个绑定都可以有不同的配置。

这里我们通过paramsRef属性关联了一个 CRD 对象，这样在策略对象中我们就可以通过params.maxReplicas获取到该对象的maxReplicas属性值了，这里我们将environment标签设置为production的命名空间的 Deployments 限制为最多 1000 个副本，当然我们还可以创建另外的绑定对象，为其他命名空间进行不同的限制。

此策略参数资源将部署限制为测试环境中所有名称空间中最多 3 个副本，准入政策可能有多个绑定。要将所有其他环境绑定到maxReplicas限制为 100，则可以创建另一个ValidatingAdmissionPolicyBinding对象：

此外在策略对象中我们还可以通过failurePolicy来定义如何处理错误配置和 CEL 表达式从准入策略评估为错误，该属性允许的值包括Ignore、Fail。

需要注意的是failurePolicy是在ValidatingAdmissionPolicy对象中定义的，如下所示：

apiVersion: admissionregistration.k8s.io/v1alpha1kind: ValidatingAdmissionPolicyspec:...failurePolicy: Ignore # 默认值为 "Fail"validations:- expression: "object.spec.xyz == params.x"

通过前面的示例我们知道在策略对象中是通过spec.validations[i].expression来表示由 CEL 进行评估的表达式的，通过 CEL 表达式我们可以访问准入请求/响应的内容，可以组织成 CEL 变量以及一些其他变量：

apiVersion、kind、metadata.name和metadata.generateName这些属性我们始终可以从对象的根进行访问，没有其他元数据属性可访问。

急！急！！急！！！小学数学与生活论文

勾股定理又叫毕氏定理：在一个直角三角形中，斜边边长的平方等于两条直角边边长平方之和。据考证，人类对这条定理的认识，少说也超过 4000 年！又据记载，现时世上一共有超过 300 个对这定理的证明！勾股定理是几何学中的明珠，所以它充满魅力，千百年来，人们对它的证明趋之若鹜，其中有著名的数学家，也有业余数学爱好者，有普通的老百姓，也有尊贵的政要权贵，甚至有国家总统。也许是因为勾股定理既重要又简单，更容易吸引人，才使它成百次地反复被人炒作，反复被人论证。 1940年出版过一本名为《毕达哥拉斯命题》的勾股定理的证明专辑，其中收集了367种不同的证明方法。实际上还不止于此，有资料表明，关于勾股定理的证明方法已有500余种，仅我国清末数学家华蘅芳就提供了二十多种精彩的证法。这是任何定理无法比拟的。勾股定理的证明：在这数百种证明方法中，有的十分精彩，有的十分简洁，有的因为证明者身份的特殊而非常著名。首先介绍勾股定理的两个最为精彩的证明，据说分别来源于中国和希腊。 1．中国方法：画两个边长为(a+b)的正方形，如图，其中a、b为直角边，c为斜边。这两个正方形全等，故面积相等。左图与右图各有四个与原直角三角形全等的三角形，左右四个三角形面积之和必相等。从左右两图中都把四个三角形去掉，图形剩下部分的面积必相等。左图剩下两个正方形，分别以a、b为边。右图剩下以c为边的正方形。于是 a^2+b^2=c^2。这就是我们几何教科书中所介绍的方法。既直观又简单，任何人都看得懂。 2．希腊方法：直接在直角三角形三边上画正方形，如图。容易看出， △ABA’ ≌△AAC 。过C向A’’B’’引垂线，交AB于C’，交A’’B’’于C’’。 △ABA’与正方形ACDA’同底等高,前者面积为后者面积的一半，△AA’’C与矩形AA’’C’’C’同底等高，前者的面积也是后者的一半。由△ABA’≌△AA’’C，知正方形ACDA’的面积等于矩形AA’’C’’C’的面积。同理可得正方形BB’EC的面积等于矩形B’’BC’C’’的面积。于是， S正方形AA’’B’’B=S正方形ACDA’+S正方形BB’EC，即 a2+b2=c2。至于三角形面积是同底等高的矩形面积之半，则可用割补法得到（请读者自己证明）。这里只用到简单的面积关系，不涉及三角形和矩形的面积公式。这就是希腊古代数学家欧几里得在其《几何原本》中的证法。以上两个证明方法之所以精彩，是它们所用到的定理少，都只用到面积的两个基本观念： ⑴ 全等形的面积相等； ⑵ 一个图形分割成几部分，各部分面积之和等于原图形的面积。这是完全可以接受的朴素观念，任何人都能理解。我国历代数学家关于勾股定理的论证方法有多种，为勾股定理作的图注也不少，其中较早的是赵爽（即赵君卿）在他附于《周髀算经》之中的论文《勾股圆方图注》中的证明。采用的是割补法：如图，将图中的四个直角三角形涂上朱色，把中间小正方形涂上黄色，叫做中黄实，以弦为边的正方形称为弦实，然后经过拼补搭配，“令出入相补，各从其类”，他肯定了勾股弦三者的关系是符合勾股定理的。即“勾股各自乘，并之为弦实，开方除之，即弦也”。赵爽对勾股定理的证明，显示了我国数学家高超的证题思想，较为简明、直观。西方也有很多学者研究了勾股定理，给出了很多证明方法，其中有文字记载的最早的证明是毕达哥拉斯给出的。据说当他证明了勾股定理以后，欣喜若狂，杀牛百头，以示庆贺。故西方亦称勾股定理为“百牛定理”。遗憾的是，毕达哥拉斯的证明方法早已失传，我们无从知道他的证法。下面介绍的是美国第二十任总统伽菲尔德对勾股定理的证明。如图， S梯形ABCD= (a+b)2 = (a2+2ab+b2)， ① 又S梯形ABCD=S△AED+S△EBC+S△CED = ab+ ba+ c2 = (2ab+c2)。 ② 比较以上二式，便得 a2+b2=c2。这一证明由于用了梯形面积公式和三角形面积公式，从而使证明相当简洁。 1876年4月1日，伽菲尔德在《新英格兰教育日志》上发表了他对勾股定理的这一证明。 5年后，伽菲尔德就任美国第二十任总统。后来，人们为了纪念他对勾股定理直观、简捷、易懂、明了的证明，就把这一证法称为勾股定理的“总统”证法，这在数学史上被传为佳话。在学习了相似三角形以后，我们知道在直角三角形中，斜边上的高把这个直角三角形所分成的两个直角三角形与原三角形相似。如图，Rt△ABC中，∠ACB=90°。作CD⊥BC，垂足为D。则 △BCD∽△BAC，△CAD∽△BAC。由△BCD∽△BAC可得BC2=BD ? BA， ① 由△CAD∽△BAC可得AC2=AD ? AB。 ② 我们发现，把①、②两式相加可得 BC2+AC2=AB（AD+BD），而AD+BD=AB，因此有 BC2+AC2=AB2，这就是 a2+b2=c2。这也是一种证明勾股定理的方法，而且也很简洁。它利用了相似三角形的知识。在对勾股定理为数众多的证明中，人们也会犯一些错误。如有人给出了如下证明勾股定理的方法：设△ABC中，∠C=90°，由余弦定理 c2=a2+b2-2abcosC，因为∠C=90°，所以cosC=0。所以 a2+b2=c2。这一证法，看来正确，而且简单，实际上却犯了循环证论的错误。原因是余弦定理的证明来自勾股定理。人们对勾股定理感兴趣的原因还在于它可以作推广。欧几里得在他的《几何原本》中给出了勾股定理的推广定理：“直角三角形斜边上的一个直边形，其面积为两直角边上两个与之相似的直边形面积之和”。从上面这一定理可以推出下面的定理：“以直角三角形的三边为直径作圆，则以斜边为直径所作圆的面积等于以两直角边为直径所作两圆的面积和”。勾股定理还可以推广到空间：以直角三角形的三边为对应棱作相似多面体，则斜边上的多面体的表面积等于直角边上两个多面体表面积之和。若以直角三角形的三边为直径分别作球，则斜边上的球的表面积等于两直角边上所作二球表面积之和。总之，在勾股定理探索的道路上，我们走向了数学殿堂