Контроль допуска (Admission Control) — механизм обработки запросов Kubernetes, который на основе заданных политик определяет, следует ли разрешить или отклонить запрос на создание, обновление или удаление объектов.
Container Security позволяет создавать свои собственные политики контроля допуска, используя встроенный инструмент управления политиками.
Container Security поддерживает создание политик валидации:
Kubernetes — нативные Kubernetes-политики валидации. Политика применяется для объектов, определенных в биндинге.
Kyverno (весь кластер) — расширенные политики валидации, которые применяются для объектов всего кластера.
Kyverno (пространство имен) — расширенные политики валидации, которые применяются для объектов указанного пространства имен в кластере.
Для политик валидации используются следующие режимы проверки validationActions:
Deny
Warn
Audit
В режиме Deny при нарушении политики валидации действие с объектом, например создание или изменение, заблокируется.
В режимах Audit и Warn нарушение правила не препятствует действию с объектом. Операция разрешается, но информация о несоответствии:
Фиксируется в отчете, если указан режим Audit.
Отображается сразу, если указан режим Warn.