В Kubernetes метки — это важные метаданные, которые помогают организовывать и идентифицировать ресурсы. Однако крайне важно обеспечить соблюдение политики, обеспечивающей минимальные требования к меткам для ресурсов Kubernetes. Эта политика помогает поддерживать согласованность, улучшает управление ресурсами и повышает общую наблюдаемость. В этой статье мы рассмотрим несколько методов с примерами кода, позволяющих обеспечить минимальный набор меток для ресурсов Kubernetes.

Метод 1: контроллеры доступа
Контроллеры доступа Kubernetes предоставляют мощный механизм для обеспечения соблюдения политик во время создания и изменения ресурсов. Используя веб-перехватчик проверки допуска, вы можете перехватывать запросы и проверять метки, прежде чем разрешить создание или изменение ресурсов. Вот пример контроллера допуска, написанного на Go:

package main
import (
    "encoding/json"
    "fmt"
    "net/http"
    admissionv1 "k8s.io/api/admission/v1"
    corev1 "k8s.io/api/core/v1"
    "k8s.io/apimachinery/pkg/runtime"
)
func main() {
    http.HandleFunc("/validate", validateHandler)
    http.ListenAndServe(":8080", nil)
}
func validateHandler(w http.ResponseWriter, r *http.Request) {
    decoder := json.NewDecoder(r.Body)
    var admissionReview admissionv1.AdmissionReview
    err := decoder.Decode(&admissionReview)
    if err != nil {
        http.Error(w, "Invalid request", http.StatusBadRequest)
        return
    }
    response := admissionv1.AdmissionReview{
        TypeMeta: admissionReview.TypeMeta,
        Response: &admissionv1.AdmissionResponse{
            Allowed: true,
        },
    }
    raw := admissionReview.Request.Object.Raw
    pod := corev1.Pod{}
    if _, _, err := universalDeserializer.Decode(raw, nil, &pod); err != nil {
        response.Response.Allowed = false
        response.Response.Result = &metav1.Status{
            Message: err.Error(),
        }
    }
// Validate labels on the pod
    if len(pod.ObjectMeta.Labels) < 2 {
        response.Response.Allowed = false
        response.Response.Result = &metav1.Status{
            Message: "Pod must have at least 2 labels",
        }
    }
    resp, err := json.Marshal(response)
    if err != nil {
        http.Error(w, "Internal server error", http.StatusInternalServerError)
        return
    }
    w.Header().Set("Content-Type", "application/json")
    w.Write(resp)
}

Метод 2: пользовательские контроллеры
Другой подход — использовать пользовательские контроллеры для постоянного мониторинга и обеспечения соблюдения требований к меткам на ресурсах Kubernetes. Контроллер может отслеживать события создания ресурсов и соответствующим образом проверять метки. Вот пример использования клиентской библиотеки Kubernetes Python:

from kubernetes import client, config, watch
def validate_labels(event):
    pod = event['object']
    if len(pod.metadata.labels) < 2:
        print(f"Pod {pod.metadata.name} must have at least 2 labels")
def main():
    config.load_kube_config()
    v1 = client.CoreV1Api()
    resource_version = ''
    while True:
        stream = watch.Watch().stream(v1.list_pod_for_all_namespaces, resource_version=resource_version)
        for event in stream:
            resource_version = event['raw_object']['metadata']['resourceVersion']
            validate_labels(event)
if __name__ == '__main__':
    main()

Обеспечение минимального набора меток для ресурсов Kubernetes имеет решающее значение для обеспечения согласованности и улучшения управления ресурсами. В этой статье мы рассмотрели два метода — контроллеры доступа и пользовательские контроллеры — с примерами кода для обеспечения соблюдения требований к меткам. Внедрив эти подходы, вы сможете улучшить наблюдаемость и обеспечить соблюдение правил маркировки вашей организации.