Kubernetes - OPA Gatekeeper
Oryginalnym autorem tej strony jest Guillaume
Definicja
Open Policy Agent (OPA) Gatekeeper to narzędzie używane do egzekwowania polityk przyjęcia w Kubernetes. Te polityki są definiowane przy użyciu Rego, języka polityk dostarczanego przez OPA. Poniżej znajduje się podstawowy przykład definicji polityki przy użyciu OPA Gatekeeper:
To zasada Rego sprawdza, czy określone etykiety są obecne w zasobach Kubernetes. Jeśli brakuje wymaganych etykiet, zwraca komunikat o naruszeniu. Ta zasada może być używana do zapewnienia, że wszystkie zasoby wdrożone w klastrze mają określone etykiety.
Zastosuj Ograniczenie
Aby użyć tej zasady z OPA Gatekeeper, należy zdefiniować ConstraintTemplate i Constraint w Kubernetes:
W tym przykładzie YAML definiujemy ConstraintTemplate wymagający etykiet. Następnie nadajemy tej regule nazwę ensure-pod-has-label
, która odnosi się do ConstraintTemplate k8srequiredlabels
i określa wymagane etykiety.
Gdy Gatekeeper jest wdrożony w klastrze Kubernetes, będzie egzekwować tę politykę, uniemożliwiając tworzenie podów, które nie posiadają określonych etykiet.
Referencje
Last updated