Kubernetes OPA Gatekeeper
Last updated
Last updated
Die oorspronklike skrywer van hierdie bladsy is
Open Policy Agent (OPA) Gatekeeper is 'n gereedskap wat gebruik word om toelatingsbeleide in Kubernetes af te dwing. Hierdie beleide word gedefinieer deur gebruik te maak van Rego, 'n beleidstaal wat deur OPA voorsien word. Hieronder is 'n basiese voorbeeld van 'n beleidsdefinisie wat gebruik maak van OPA Gatekeeper:
Hierdie Rego-beleid kontroleer of sekere etikette teenwoordig is op Kubernetes-hulpbronne. As die vereiste etikette ontbreek, gee dit 'n oortredingsboodskap terug. Hierdie beleid kan gebruik word om te verseker dat alle hulpbronne wat in die tros ontplooi is, spesifieke etikette het.
Om hierdie beleid met OPA Gatekeeper te gebruik, sou jy 'n ConstraintTemplate en 'n Constraint in Kubernetes definieer:
In hierdie YAML-voorbeeld definieer ons 'n ConstraintTemplate om etikette te vereis. Dan noem ons hierdie beperking ensure-pod-has-label, wat verwys na die k8srequiredlabels ConstraintTemplate en spesifiseer die vereiste etikette.
Wanneer Gatekeeper in die Kubernetes-kluster geïmplementeer word, sal dit hierdie beleid afdwing en voorkom dat daar peule geskep word wat nie oor die gespesifiseerde etikette beskik nie.