From 6ac595bce426ca8e02df13f473f45f267fb4120d Mon Sep 17 00:00:00 2001 From: Pinghao Wu Date: Sat, 21 Sep 2024 21:58:14 +0800 Subject: [PATCH] Architecture: explain vap example --- Sections/4.Architecture.tex | 5 ++++- 1 file changed, 4 insertions(+), 1 deletion(-) diff --git a/Sections/4.Architecture.tex b/Sections/4.Architecture.tex index c5fc6e6..8196dc5 100644 --- a/Sections/4.Architecture.tex +++ b/Sections/4.Architecture.tex @@ -88,9 +88,12 @@ CSKloud 達成一代願景中的開放使用者直接存取 Kubernetes API,使 \centering \includegraphics[width=\textwidth]{assets/code-pod-policy.png} \caption{以 CEL 防止使用者繞過排程機制} + \label{fig:code-pod-policy} \end{figure} -% TODO explain +以 CEL 實做 validating admission control 邏輯需要以 ValidatingAdmissionPolicy resource 先行定義,在以 ValidatingAdmissionPolicyBinding resource 將之啟用。圖 \ref{fig:code-pod-policy} 即為實做防止繞過排程的 ValidatingAdmissionPolicy。首先我們只對開放給使用者的 Namespace 進行限制,透過我們權限開通的設計,以具有 \verb|u-| 前綴來判斷。再來由於排程機制對 Pod 指定節點與使用者直接指定修改的欄位相同,我們需要避免限制到叢集系統本身。這點由於我們的權限規劃,使用者沒有列舉 Nodes 的權限,我們以此分別使用者與系統。最後我們檢查欄位狀況。% TODO check if updated + +% TODO ingress \section{權限開通實做} -- 2.45.2