PyConChina2022-北京-用Python给Kubernetes写个自定义控制器-张晋涛

# 《PyConChina2022-北京-用Python给Kubernetes写个自定义控制器-张晋涛》总结 ## 核心观点 1. **Kubernetes 请求处理流程** - Kubernetes 的请求处理涉及多个组件，包括 API server、Controller manager、etcd、kubelet、kube-proxy 和 Scheduler 等。 - 准入控制器（Admission Controller）是 Kubernetes 中用于校验和处理请求的重要机制。 2. **什么是准入控制器** - 准入控制器用于在 Kubernetes 请求处理过程中执行校验逻辑，确保请求符合预定义的规则和策略。 - 动态准入控制器通过 Kubernetes 提供的扩展点（如 MutatingAdmissionWebhook 和 ValidatingAdmissionWebhook）实现，能够接收 HTTP 回调并动态调整校验逻辑。 3. **用 Python 实现准入控制器** - 建议使用 Kubernetes v1.16 及以上版本的 v1 API。 - 实现步骤包括： 1. 构建 Web 服务器接收 AdmissionReview 请求。 2. 配置 Kubernetes 的 AdmissionConfiguration 或 ValidatingWebhookConfiguration 资源。 - 示例代码可参考：[https://github.com/tao1234566333/py-admission-controller](https://github.com/tao1234566333/py-admission-controller)。 4. **与其他方案对比** - **OPA/Gatekeeper**：通过 Rego 语言实现策略定义，功能强大但需学习新语言。 - **Kyverno**：基于 YAML 的规则引擎，简单易用但灵活性有限。 - **Kubernetes v1.26 ValidatingAdmissionPolicy**：原生特性，无需额外组件，但目前尚不稳定且仅支持校验功能。 5. **准入控制器的应用场景** - **安全合规**：镜像源检查、用户启动权限等。 - **应用治理**：资源配额、标签标识等。 - **动态校验**：支持动态调整校验逻辑，满足复杂用户需求。 6. **动态准入控制器的优势** - 传统准入控制器功能固定，无法动态调整；动态准入控制器通过 HTTP 回调实现灵活扩展，适合复杂场景。 ## 总结 通过 Python 实现 Kubernetes 的自定义准入控制器，能够满足复杂的校验需求，提供灵活的扩展能力。与其他方案相比，动态准入控制器在灵活性和可维护性方面具有显著优势。