Admission Controllers in Kubernetes dienen als eine kritische Kontrollinstanz im API Server, um Sicherheitsrichtlinien, Ressourcenmanagement und betriebliche Vorgaben durchzusetzen. Diese Controller tragen dazu bei, eine sichere, stabile und gut organisierte Cluster-Umgebung aufrechtzuerhalten. Ohne eine korrekte Konfiguration oder wenn wichtige Admission Controllers deaktiviert sind, ergeben sich mehrere Risiken:
Veraltete oder unsichere Images
Wenn der AlwaysPullImages Controller nicht aktiviert ist, könnten Nodes veraltete oder potenziell unsichere Images aus dem lokalen Cache verwenden, was zu Schwachstellen und Sicherheitsrisiken führen kann.
Sicherheitsverstöße in Pods
Ohne den PodSecurityPolicy Controller können Pods mit erhöhten Rechten oder unsicheren Konfigurationen (z. B. als root ausgeführt wird oder privilegierte Container nutzt) ausgeführt werden, was zu unautorisiertem Zugriff oder einer Privilegieneskalation führen kann.
Ressourcenerschöpfung
Ohne die Durchsetzung von ResourceQuota kann es zu unkontrolliertem Ressourcenverbrauch innerhalb von Namespaces kommen, was zu Ressourcenerschöpfung, Leistungsproblemen oder Denial of Service (DoS) Bedingungen führen kann.
Fehlkonfigurationen in Namespaces
Ohne den NamespaceExists Controller könnten Ressourcen in nicht existierenden oder falschen Namespaces erstellt werden, was zu betrieblichem Chaos, potenziellen Sicherheitslücken und Fehlkonfigurationen führt.
Um diese Risiken zu minimieren, ist es entscheidend, die wichtigsten Admission Controllers im Kubernetes API Server korrekt zu konfigurieren und zu aktivieren.
