Chapitre 7. Les plugins d’admission
Les plugins d’admission sont utilisés pour aider à réguler les fonctions d’OpenShift Dedicated.
7.1. À propos des plugins d’admission Copier lienLien copié sur presse-papiers!
Les plugins d’admission interceptent les requêtes à l’API principale pour valider les demandes de ressources. Après qu’une demande soit authentifiée et autorisée, les plugins d’admission s’assurent que toutes les politiques associées sont suivies. Ils sont par exemple couramment utilisés pour appliquer la politique de sécurité, les limitations de ressources ou les exigences de configuration.
Les plugins d’admission s’exécutent en séquence comme une chaîne d’admission. Lorsqu’un plugin d’admission dans la séquence rejette une demande, toute la chaîne est avortée et une erreur est retournée.
Le module OpenShift Dedicated dispose d’un ensemble de plugins d’admission par défaut activés pour chaque type de ressource. Ceux-ci sont nécessaires au bon fonctionnement du cluster. Les plugins d’admission ignorent les ressources dont ils ne sont pas responsables.
En plus des paramètres par défaut, la chaîne d’admission peut être étendue dynamiquement par le biais de plugins d’entrée Webhook qui appellent à des serveurs webhook personnalisés. Il existe deux types de plugins d’admission webhook: un plugin d’admission mutant et un plugin d’admission valide. Le plugin d’admission mutant s’exécute en premier et peut à la fois modifier les ressources et valider les demandes. Le plugin d’admission valide les requêtes et s’exécute après le plugin d’admission mutant afin que les modifications déclenchées par le plugin d’admission mutant puissent également être validées.
Appeler des serveurs webhook via un plugin d’admission mutant peut produire des effets secondaires sur les ressources liées à l’objet cible. Dans de telles situations, vous devez prendre des mesures pour valider que le résultat final est comme prévu.
L’admission dynamique doit être utilisée avec prudence car elle a un impact sur les opérations des avions de contrôle en grappes. Lorsque vous appelez des serveurs Webhook via des plugins d’admission Webhook dans OpenShift Dedicated 4, assurez-vous que vous avez lu la documentation complètement et testé pour les effets secondaires des mutations. Inclure des étapes pour restaurer les ressources dans leur état d’origine avant la mutation, dans le cas où une demande ne passe pas dans toute la chaîne d’admission.