Kubernetes - OPA Gatekeeper

Oryginalnym autorem tej strony jest Guillaume

Definicja

Open Policy Agent (OPA) Gatekeeper to narzędzie używane do egzekwowania polityk przyjęcia w Kubernetes. Te polityki są definiowane przy użyciu Rego, języka polityk dostarczanego przez OPA. Poniżej znajduje się podstawowy przykład definicji polityki przy użyciu OPA Gatekeeper:

regoCopy codepackage k8srequiredlabels

violation[{"msg": msg}] {
provided := {label | input.review.object.metadata.labels[label]}
required := {label | label := input.parameters.labels[label]}
missing := required - provided
count(missing) > 0
msg := sprintf("Required labels missing: %v", [missing])
}

default allow = false

To zasada Rego sprawdza, czy określone etykiety są obecne w zasobach Kubernetes. Jeśli brakuje wymaganych etykiet, zwraca komunikat o naruszeniu. Ta zasada może być używana do zapewnienia, że wszystkie zasoby wdrożone w klastrze mają określone etykiety.

Zastosuj Ograniczenie

Aby użyć tej zasady z OPA Gatekeeper, należy zdefiniować ConstraintTemplate i Constraint w Kubernetes:

apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
name: k8srequiredlabels
spec:
crd:
spec:
names:
kind: K8sRequiredLabels
targets:
- target: admission.k8s.gatekeeper.sh
rego: |
package k8srequiredlabels
violation[{"msg": msg}] {
provided := {label | input.review.object.metadata.labels[label]}
required := {label | label := input.parameters.labels[label]}
missing := required - provided
count(missing) > 0
msg := sprintf("Required labels missing: %v", [missing])
}

default allow = false
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sRequiredLabels
metadata:
name: ensure-pod-has-label
spec:
match:
kinds:
- apiGroups: [""]
kinds: ["Pod"]
parameters:
labels:
requiredLabel1: "true"
requiredLabel2: "true"

W tym przykładzie YAML definiujemy ConstraintTemplate wymagający etykiet. Następnie nadajemy tej regule nazwę ensure-pod-has-label, która odnosi się do ConstraintTemplate k8srequiredlabels i określa wymagane etykiety.

Gdy Gatekeeper jest wdrożony w klastrze Kubernetes, będzie egzekwować tę politykę, uniemożliwiając tworzenie podów, które nie posiadają określonych etykiet.

Referencje

Last updated