Kubernetes - OPA Gatekeeper
このページの元の著者は Guillaume
定義
Open Policy Agent (OPA) Gatekeeperは、Kubernetesで入場ポリシーを強制するために使用されるツールです。これらのポリシーは、OPAによって提供されるポリシー言語であるRegoを使用して定義されます。以下は、OPA Gatekeeperを使用したポリシー定義の基本的な例です:
このRegoポリシーは、Kubernetesリソースに特定のラベルが存在するかどうかをチェックします。必要なラベルが欠落している場合、違反メッセージが返されます。このポリシーは、クラスターにデプロイされたすべてのリソースに特定のラベルがあることを確認するために使用できます。
制約の適用
このポリシーをOPA Gatekeeperと共に使用するには、KubernetesでConstraintTemplateとConstraintを定義する必要があります:
このYAMLの例では、ラベルの指定を要求するConstraintTemplateを定義しています。次に、この制約をensure-pod-has-label
と名前付けし、k8srequiredlabels
ConstraintTemplateを参照して必要なラベルを指定します。
KubernetesクラスターにGatekeeperがデプロイされると、このポリシーが強制され、指定されたラベルを持たないポッドの作成が防がれます。
参考
Last updated