cks

3.20 ImagePolicyWebhook

Detalhamento do admission plugin ImagePolicyWebhook para o CKS.

O que é

O ImagePolicyWebhook é um admission controller do Kubernetes que envia decisões sobre imagens para um webhook externo. Esse webhook pode permitir ou negar uma imagem com base em política (registry, assinatura, vulnerabilidades, etc.). A configuração fica em um arquivo AdmissionConfiguration referenciado pelo API server.

Documentação oficial

Estrutura da configuração

O API server usa um arquivo de configuração (ex.: admission-config.yaml) com AdmissionConfiguration:

apiVersion: apiserver.config.k8s.io/v1
kind: AdmissionConfiguration
plugins:
- name: ImagePolicyWebhook
  configuration:
    imagePolicy:
      kubeConfigFile: /path/to/kubeconfig  # ou o path montado no apiserver
      allowTTL: 50
      denyTTL: 50
      retryBackoff: 500
      defaultAllow: true   # ou false

kubeConfigFile: kubeconfig usado pelo API server para falar com o webhook (TLS, URL do serviço).
allowTTL / denyTTL: tempo em segundos que a decisão é cacheada.
defaultAllow: se o webhook falhar ou não responder, permitir (true) ou negar (false) a imagem.

Ativar no API server

No manifest do kube-apiserver (/etc/kubernetes/manifests/kube-apiserver.yaml):

Incluir ImagePolicyWebhook em --enable-admission-plugins (ou equivalente na sua versão).

Apontar para o arquivo de configuração:

--admission-control-config-file=/etc/kubernetes/webhook/admission-config.yaml

Garantir que o arquivo (e o kubeconfig do webhook) estejam disponíveis no Pod do API server via volumeMount (ex.: /opt/course/23/webhook montado em /etc/kubernetes/webhook).

Resumo para o exame

AdmissionConfiguration: plugins[].name: ImagePolicyWebhook, configuration.imagePolicy com kubeConfigFile, allowTTL, denyTTL, defaultAllow.
API server: --enable-admission-plugins=...,ImagePolicyWebhook e --admission-control-config-file=/etc/kubernetes/webhook/admission-config.yaml.
Volume no apiserver: montar o diretório do webhook (ex.: /opt/course/23/webhook) em /etc/kubernetes/webhook.