将新部署限制到 Kubernetes 命名空间

Question

我需要能够将用户限制在现有名称空间空间中创建新的部署/replicaset，如果他们不匹配批准的应用程序列表，我认为自定义录取控制器是最好的方法，但我不确定如何处理这。

有什么解决方案吗？

Answer 1

您是对的 - 如果您需要在准入控制决策中使用已批准应用程序列表等数据，那么您需要的不仅仅是 RBAC。您可以编写自定义准入控制器，但更推荐的方法是使用 开放策略代理 (OPA)为此，它为您提供了所需的灵活性，而无需处理低级 API 服务器集成问题。

查看 OPA Gatekeeper 了解 OPA 与 Kubernetes 的开源集成，或 Styra 用于商业解决方案。

最后，Kyverno 是 OPA 的替代方案，用于 Kubernetes 上基于策略的准入控制。