准入控制是API Server的插件集合,通过添加不同的插件,实现额外的准入控制规则。甚至于API Server的一些主要的功能都需要通过Admission Controllers实现,比如ServiceAccount
    官方文档上有一份针对不同版本的准入控制器推荐列表,其中最新的1.14 的推荐列表是:

    1. NamespaceLifecycle,LimitRanger,ServiceAccount,DefaultStorageClass,DefaultTolerationSeconds,MutatingAdmissionWebhook,ValidatingAdmissionWebhook,ResourceQuota

    列举几个插件的功能:

    • NamespaceLifecycle:防止不存在的namespace上创建对象,防止删除系统预置 namespace,删除namespace时,连带删除它的所有资源对象。
    • LimitRanger: 确保请求的资源不会超过资源所在Namespace的LimitRange的限制。
    • ServiceAccount:实现了自动化添加ServiceAccount。
    • ResourceQuota:确保请求的资源不会超时资源的ResourceQuota限制。