
Validating Admission Policy (CEL) Kubernetes 2026: Guardrail Native Tanpa Webhook
6/4/2026
Keyword: validating admission policy, kubernetes cel, admission controller, policy as code, devsecops, keamanan kubernetes, guardrail kubernetes, validatingadmissionpolicybinding, kubernetes governance, audit konfigurasi, kubernetes security, best practice devops, admission control, cluster policy, cel expression
Validating Admission Policy (VAP) adalah mekanisme native Kubernetes untuk memvalidasi objek sebelum disimpan oleh kube-apiserver, tanpa perlu membangun webhook khusus. Dengan pendekatan deklaratif berbasis Common Expression Language (CEL), tim platform bisa membuat guardrail yang ringan, cepat, dan mudah diaudit.
Mengapa Validating Admission Policy penting?
- Lebih sederhana: tidak perlu servis webhook terpisah untuk validasi dasar.
- Performa stabil: evaluasi terjadi di proses API server, mengurangi latensi jaringan.
- Audit & governance: aturan ditulis sebagai konfigurasi yang jelas dan dapat ditinjau.
Konsep dasar Admission Control
Admission controller memeriksa request create/update/delete setelah autentikasi dan otorisasi. Admission dapat bersifat mutating atau validating, dan hanya berlaku pada operasi yang mengubah objek (bukan read). VAP adalah opsi validating yang deklaratif dan native.
Komponen utama Validating Admission Policy
1) ValidatingAdmissionPolicy
Mendefinisikan logika validasi menggunakan ekspresi CEL. Contohnya: mewajibkan label tertentu atau melarang penggunaan tag image latest.
2) Parameter Resource (opsional)
Untuk membuat aturan fleksibel, VAP dapat menerima parameter dari resource lain (mis. ConfigMap atau CRD) sehingga kebijakan bisa dipakai lintas namespace dengan nilai berbeda.
3) ValidatingAdmissionPolicyBinding
Mengikat policy ke scope tertentu (cluster/namespace/label selector) dan ke parameter resource jika dipakai.
Praktik penerapan yang efektif
Checklist guardrail yang umum dipakai
- Standarisasi label: pastikan
ownerataucost-centerselalu ada. - Larangan image tag latest: mendorong versi yang deterministik.
- Batasan hostPath: cegah mount hostPath berisiko tinggi.
- Namespace boundary: hanya izinkan resource tertentu di namespace sensitif.
Tips desain rule CEL
- Tulis ekspresi sesederhana mungkin agar mudah dipahami dan di-review.
- Gunakan parameter untuk aturan yang perlu variasi lintas tim.
- Uji di lingkungan staging sebelum diterapkan di produksi.
Kapan tetap butuh webhook?
Jika validasi perlu call eksternal, akses sistem lain, atau logika kompleks yang tidak bisa direpresentasikan dengan CEL, webhook masih relevan. VAP ideal untuk aturan deterministik yang langsung memeriksa struktur request.
Referensi utama dan lanjutan
Dokumentasi resmi Kubernetes menjelaskan konsep VAP dan komponen yang terlibat. Untuk konteks admission control secara umum, lihat halaman admission controller Kubernetes. Detail tentang karakteristik CEL juga tersedia di spesifikasi resmi.
- Dokumentasi Validating Admission Policy (Kubernetes)
- Admission Controllers (Kubernetes)
- Common Expression Language (CEL) Specification
Penutup
Validating Admission Policy mempermudah tim platform menerapkan guardrail keamanan dan kepatuhan tanpa overhead operasional webhook. Dengan rule yang rapi dan parameter yang tepat, Anda bisa menjaga kualitas konfigurasi cluster secara konsisten dan terukur.
Sumber referensi awal: https://kubernetes.io/docs/reference/access-authn-authz/validating-admission-policy/