Chapitre 9. Plugins d'admission

Les plugins d'admission sont utilisés pour aider à réguler le fonctionnement d'OpenShift Container Platform 4.12. Les plugins d'admission interceptent les demandes adressées à l'API principale pour valider les demandes de ressources et s'assurer que les politiques sont respectées, après que la demande a été authentifiée et autorisée. Par exemple, ils sont couramment utilisés pour appliquer la politique de sécurité, les limitations de ressources ou les exigences de configuration.

Les plugins d'admission s'exécutent en séquence comme une chaîne d'admission. Si l'un des modules d'admission de la séquence rejette une demande, la chaîne entière est interrompue et une erreur est renvoyée.

OpenShift Container Platform dispose d'un ensemble de plugins d'admission activés par défaut pour chaque type de ressource. Ces plugins sont nécessaires au bon fonctionnement du cluster. Les plugins d'admission ignorent les ressources dont ils ne sont pas responsables.

Outre les valeurs par défaut, la chaîne d'admission peut être étendue de manière dynamique grâce à des plugins d'admission de type webhook qui font appel à des serveurs webhook personnalisés. Il existe deux types de plugins d'admission aux webhooks : un plugin d'admission à la mutation et un plugin d'admission à la validation. Le plugin d'admission à la mutation s'exécute en premier et peut à la fois modifier les ressources et valider les demandes. Le plugin de validation des admissions valide les demandes et s'exécute après le plugin de validation des admissions afin que les modifications déclenchées par le plugin de validation des admissions puissent également être validées.

L'appel à des serveurs de webhook par l'intermédiaire d'un plugin d'admission mutant peut produire des effets secondaires sur les ressources liées à l'objet cible. Dans de telles situations, vous devez prendre des mesures pour valider que le résultat final est conforme aux attentes.