策略

Kubernetes 策略是管理其他配置或运行时行为的配置。Kubernetes 提供多种形式的策略，如下所述

使用 API 对象应用策略

一些 API 对象充当策略。以下是一些示例

• 网络策略 可用于限制工作负载的入站和出站流量。
• 限制范围 管理跨不同对象类型的资源分配约束。
• 资源配额 限制 命名空间 的资源消耗。

使用准入控制器应用策略

一个 准入控制器 在 API 服务器中运行，可以验证或修改 API 请求。一些准入控制器用于应用策略。例如，AlwaysPullImages 准入控制器修改新的 Pod 以将镜像拉取策略设置为 Always。

Kubernetes 具有多个内置准入控制器，这些控制器可以通过 API 服务器 --enable-admission-plugins 标志进行配置。

有关准入控制器的详细信息，以及可用准入控制器的完整列表，在专用部分进行了介绍

• 准入控制器

使用 ValidatingAdmissionPolicy 应用策略

Validating 准入策略允许使用通用表达式语言 (CEL) 在 API 服务器中执行可配置的验证检查。例如，ValidatingAdmissionPolicy 可用于禁止使用 latest 镜像标签。

ValidatingAdmissionPolicy 对 API 请求进行操作，可用于阻止、审核和警告用户有关不符合配置的信息。

有关 ValidatingAdmissionPolicy API 的详细信息，以及示例，在专用部分进行了介绍

• 验证准入策略

使用动态准入控制应用策略

动态准入控制器（或准入 Webhook）在 API 服务器之外作为独立应用程序运行，这些应用程序注册以接收 Webhook 请求以执行 API 请求的验证或修改。

动态准入控制器可用于在 API 请求上应用策略并触发其他基于策略的工作流。动态准入控制器可以执行复杂的检查，包括需要检索其他集群资源和外部数据的检查。例如，镜像验证检查可以从 OCI 注册表查找数据以验证容器镜像签名和证明。

有关动态准入控制的详细信息在专用部分进行了介绍

• 动态准入控制

实现

在 Kubernetes 生态系统中正在开发用作灵活策略引擎的动态准入控制器，例如

• Kubewarden
• Kyverno
• OPA Gatekeeper
• Polaris

使用 Kubelet 配置应用策略

Kubernetes 允许在每个工作节点上配置 Kubelet。一些 Kubelet 配置充当策略

• 进程 ID 限制和保留 用于限制和保留可分配的 PID。
• 节点资源管理器 可以管理延迟敏感型和高吞吐量工作负载的计算、内存和设备资源。