Anchore Kubernetes准入控制器

镜像概述和主要用途

Anchore Kubernetes准入控制器是动态准入控制器的实现，用于将Kubernetes AdmissionRequests与Anchore Engine的策略评估和镜像分析API集成。该镜像执行单个二进制文件，该文件从Anchore Kubernetes Admission Controller仓库构建，使用默认Dockerfile。

核心功能和特性

• Anchore Engine集成：与Anchore Engine的策略评估和镜像分析API深度集成，实现镜像安全检查
• 灵活的选择器配置：支持基于pod、namespace、image三种资源类型的选择器，可通过正则表达式匹配资源元数据
• 多模式检查：提供三种检查模式，满足不同场景的安全需求
• 自动分析请求：当镜像未分析且非breakglass模式时，自动提交镜像分析请求至Anchore Engine

使用场景和适用范围

适用于Kubernetes集群环境，在部署阶段对镜像进行安全管控，确保只有符合预设策略的镜像能够部署。特别适合需要严格控制容器镜像安全性的生产环境，可有效防止不安全或未授权的镜像进入集群。

使用方法和配置说明

环境变量

镜像运行时可通过以下环境变量进行配置：

凭据文件格式（credentials.json）

用于定义访问Anchore Engine的用户凭据，格式如下：

{
  "users": [
    { "username": "user1", "password": "password" },
    { "username": "user2", "password": "password2" },
    ...      
  ]
}

配置文件格式（config.json）

核心配置文件，定义Anchore Engine端点、验证器设置和选择器规则，格式如下：

{
  "anchoreEndpoint": "[***]",
  "validator": {
    "enabled": true,
    "requestAnalysis": true
  },
  "selectors": [
    {
      "selector": {
        "resourcetype": "pod",
        "selectorkeyregex": "^breakglass$",
        "selectorvalueregex": "^true"
      },
      "policyReference": {
        "username": "user1",
        "policyBundleId": "application_bundle"
      },
      "mode": "breakglass"
    }
  ]
}

选择器资源类型（resourcetype）选项

• pod：基于pod名称或其标签、注解的键值对进行匹配
• namespace：基于namespace名称或其标签、注解的键值对进行匹配
• image：基于镜像拉取字符串与selectorvalueregex进行匹配

对于pod和namespace元数据，需同时满足键匹配selectorkeyregex和值匹配selectorvalueregex

模式（mode）选项

• policy：要求镜像通过Anchore Engine中指定策略包的策略评估
• analysis：要求镜像已被Anchore Engine分析，且分析状态为"analyzed"
• breakglass：无检查要求，跳过对镜像的所有验证

requestAnalysis说明

若启用此选项且镜像未完成分析（根据mode值判断，breakglass模式下跳过），控制器将自动向Anchore Engine提交镜像分析请求。该API调用结果不影响控制器的验证决策。