Kubespray中AdmissionConfiguration路径配置问题解析

在Kubernetes集群部署工具Kubespray的最新版本中，用户发现了一个关于准入控制器(Admission Controller)配置文件路径的错误配置问题。这个问题主要影响使用安全加固策略(hardening.yaml)部署的集群环境。

问题背景

当用户通过Kubespray启用安全加固策略时，系统会为各种准入控制插件生成对应的YAML配置文件。按照设计，这些配置文件应该被放置在/etc/kubernetes/admission-controls/目录下，例如Pod安全策略的配置文件路径应为/etc/kubernetes/admission-controls/podsecurity.yaml。

然而，在实际部署过程中，系统生成的admission-controls.yaml文件中却错误地指向了/etc/kubernetes/根目录下的同名文件，而不是预期的admission-controls子目录。这种路径不一致会导致Kubernetes API服务器无法正确加载准入控制策略。

技术细节分析

准入控制器是Kubernetes API服务器的重要组成部分，负责在对象持久化之前拦截对API服务器的请求。Kubespray通过模板文件(admission-controls.yaml.j2)来生成这些控制器的配置。

问题的根源在于模板文件中路径变量的定义方式。当前模板使用的是：

path: {{ kube_config_dir }}/{{ plugin | lower }}.yaml

而正确的路径应该是：

path: {{ kube_config_dir }}/admission-controls/{{ plugin | lower }}.yaml

这种路径错误会导致以下具体问题：

1. 配置文件实际存储在admission-controls子目录中
2. 但API服务器却在根目录寻找这些文件
3. 最终导致准入控制策略无法生效

影响范围

此问题会影响所有使用以下条件的部署：

• Kubespray版本包含该错误提交(f9ebd45c7之后)
• 启用了安全加固策略(通过hardening.yaml)
• 使用默认的准入控制器配置

特别是使用PodSecurity准入策略的集群会受到直接影响，可能导致预期的安全限制无法生效。

解决方案

对于遇到此问题的用户，可以采取以下两种解决方案：

1. 临时解决方案： 手动修改生成的admission-controls.yaml文件，确保所有插件路径都指向正确的admission-controls子目录。

2. 长期解决方案： 等待Kubespray团队发布包含修复的版本，或者手动修改本地的模板文件：

path: {{ kube_config_dir }}/admission-controls/{{ plugin | lower }}.yaml

最佳实践建议

为了避免类似配置问题，建议Kubespray用户：

1. 在部署前仔细检查生成的配置文件路径
2. 对于关键的安全配置，进行部署后的验证测试
3. 考虑使用配置管理工具来确保文件路径的一致性
4. 定期更新Kubespray版本以获取最新的修复和改进

这个问题提醒我们，在自动化部署工具中，路径配置的准确性对于系统功能的正确性至关重要，特别是在安全相关的组件配置上需要格外注意。