4. 开放策略代理与GateKeeper
时间:2022-04-13 17:18:01 | 来源:行业动态
时间:2022-04-13 17:18:01 来源:行业动态
过去几年以来,策略管理成为Kubernetes安全领域中的一大关注焦点。开放策略代理(OPA)提供一种新型策略语言Rego,能够将基础设施堆栈及API中的各个层抽象出来。总结来讲,OPA意在简化安全策略,进而消除因复杂性而引发的安全漏洞。
OPA GateKeeper则是一种将OPA集成至Kubernetes当中的原生方式。它使用由Kubernetes定制化资源定义(CRD)构建的OPA约束框架进行策略的描述与实施。在3.0版本中,GateKeeper与OPA约束框架相集成,能够强制执行基于Kubernetes CRD的策略,并允许用户可靠地共享以声明方式配置完成的各项策略。
如此一来,我们就能为Rego策略创建策略模板、将策略创建为CRD形式并在策略CRD上存储审计结果。顺带一提,OPA GateKeeper属于谷歌、微软、Red Hat以及Styra共同参与的合作项目。
其下还包含多个子项目,例如用于策略共享的Rego Playground、用于策略创建的VS Code,以及用于最终控制的CLI和REPL等。
在线咨询
