Admission Controllerとは?
admission controllerは、Kubernetesでよく見られるコンポーネントで、認証後かつオブジェクトが永続化される前にAPIリクエストを傍受し、ポリシーに照らして検証するか変更を加えます。署名のないイメージやresource limitの欠如といったルール違反のdeploymentを拒否したり、デフォルト値を注入したりできます。deploy時のポリシー強制ポイントです。
なぜ重要か
admission controllerは、ポリシーをドキュメントからdeploymentの瞬間の自動強制へと移すため、コンプライアンスに準拠しないworkloadはそもそもクラスターに入れません。サプライチェーンセキュリティでは、イメージのアテステーションと署名を検証し、有効なプロベナンスを持つartifactだけが受け入れられるようにします。
関連する概念
- 検証コントローラーは拒否し、変更コントローラーは改変する
- 署名済みイメージと有効なアテステーションを要求できる
- admission時にdesired stateのポリシーを強制する
関連ガイド
What Is an Attestation?An attestation is a signed, machine-readable statement about a software artifact, such as how it was built, w…
What Is Desired State?Desired state is the declared target configuration of a system that automation continuously works to make the…
What Is a Manual Gate?A manual gate is a deployment checkpoint that pauses the pipeline until a human explicitly approves it to con…