我试图了解什么是 OPA(开放策略代理)及其用例,我处于基础阶段。当我阅读 opa 文章时,我了解了 OPA Gatekeeper,但我不清楚为什么我们需要这个 OPA Gatekeeper?我们可以用它来审计 Kubernetes 中的各种策略,如 Pod 调度、集群放置、授权等,还是仅特定于 Kubernetes 准入控制阶段?
问问题
195 次
1 回答
2
根据官方文档:
Kubernetes 允许通过准入控制器 webhook 将策略决策与 API 服务器解耦,以在准入请求被持久化为 Kubernetes 中的对象之前拦截它们。Gatekeeper的创建是为了让用户能够通过配置而不是代码来自定义准入控制,并让用户了解集群的状态,而不仅仅是在准入时评估的单个对象。 Gatekeeper是一个可定制的 Kubernetes 准入 webhook,它强制执行由开放策略代理 (OPA) 执行的策略。
验证准入控制
在集群中安装完所有 Gatekeeper 组件后,每当集群中的资源被创建、更新或删除时,API 服务器都会触发 Gatekeeper admission webhook 来处理准入请求。
审计
审计功能可以根据集群中强制执行的约束定期评估复制资源,以检测预先存在的错误配置。Gatekeeper 将审计结果存储为相关约束的状态字段中列出的违规行为。默认情况下,审计会在审计的每个周期内向 Kubernetes API 请求每个资源。
并简要回答您的问题:Gatekeeper 旨在处理准入场景和复制资源的审计。
资料来源:
请让我知道这是否有帮助。
于 2020-05-13T13:24:19.533 回答