- 综合排序
- 最热优先
- 最新优先
- 来自专栏伪架构师
OPA Gatekeeper 策略入门
Gatekeeper 是基于 OPA(Open Policy Agent) 的一个 Kubernetes 策略解决方案。
1.7K20发布于 2020-08-25 - 来自专栏PM吃瓜(公众号)
Artifacts VS OPA
1 过程财富库的含义 CMMI中提到的organizational process assets 通常翻译为组织过程资产或者是组织过程财富,可以简写为OPA。 什么是OPA呢? ===OPA=== -------参考---------- https://www.zhihu.com/question/455298119 https://blog.csdn.net/dylanren
69620编辑于 2023-03-02 - 来自专栏有文化的技术人
OPA—云原生策略模型
简介 OPA,全称 Open Policy Agent(开放策略代理),官网是 openpolicyagent.org。OPA 主要为了解决云原生应用的访问控制、授权和策略。 OPA 是通用的,与平台无关。请求和响应是以 JSON 格式发送的。 OPA将决策与策略执行解耦。当你的软件需要做出决策时,它查询 OPA 并提供结构化数据(例如,JSON)作为输入。 OPA 通过评估查询输入并对照策略和数据来生成决策。 可能接触过k8s的,一般都知道OPA就是拿来做访问控制的,其实OPA不光是使用在访问授权等方面,它可以在策略中描述几乎任何事件。 也可以通过opa来实现admission controller 这里介绍一个组件: Gatekeeper 是通用策略引擎 Open Policy Agent(OPA)的 Kubernetes 专用实现
82710编辑于 2023-12-11 - 来自专栏CNCF
使用OPA实现Envoy外部授权
OPA的高级声明性语言Rego允许创建细粒度的安全政策,用于对结构化文档中表示的信息进行推理。 OPA作为外部授权服务 我们将演练一个使用Envoy的外部授权过滤器和OPA作为授权服务的示例。 ? OPA通过GRPC服务器进行扩展,实现了Envoy外部授权API。 data.envoy.authz.allow是决定是否允许请求的默认OPA政策。 Up 10000/tcp opa-envoy-spiffe-ext-authz_opa_be_1 ./opa_istio_linux_amd64 -- ... 政策例子 每个服务为一个决策调用其各自的OPA实例,并将其所需的政策加载到OPA中。 要查看服务加载的OPA政策,请查看repo中的docker目录。 政策-1示例 上面示例中使用的以下OPA政策被加载到web服务调用的OPA中。
2.6K20发布于 2019-12-04 - 来自专栏k8s技术圈
使用 Gatekeeper 进行 OPA 策略管理
前面我们介绍了使用 kube-mgmt 这个 sidecar 容器来完成 OPA 策略的自动同步,此外还有另外一个更加高级的工具 Gatekeeper,相比于之前的模式,Gatekeeper(v3.0) 准入控制器集成了 OPA Constraint Framework,以执行基于 CRD 的策略,并允许声明式配置的策略可靠地共享,使用 kubebuilder 构建,它提供了验证和修改准入控制和审计功能 27T06:47:25Z providers.externaldata.gatekeeper.sh 2022-03-27T06:47:25Z Gatekeeper 使用 OPA 下面的 parameters.labels 就是根据上面的 CRD 规范定义的属性,该值是传递给 opa 的参数,此处表示一个 key 为 labels,value 为一个列表的字典,与 ConstraintTemplate : match: kinds: - apiGroups: [""] kinds: ["Namespace"] 由于约束模板或者说策略库具有一定的通用性,所以 OPA
96830编辑于 2022-04-06 - 来自专栏MoeLove
Open Policy Agent(OPA) 入门实践
在具体聊 OPA 之前,我们先来聊一下为什么需要一个通用策略引擎,以及 OPA 解决了什么问题。 img 图 3 ,OPA 的策略解耦示例 OPA 并不负责具体任务的执行,它仅负责决策,需要决策的请求通过 JSON 的方式传递给 OPA ,在 OPA 决策后,也会将结果以 JSON 的形式返回。 /opa/releases/download/v0.35.0/opa_linux_amd64_static ➜ ~ chmod +x ~/bin/opa ➜ ~ opa version Version 将 OPA 嵌入为库的最简单方法是导入 github.com/open-policy-agent/opa/rego 包。 `]]]]]] map[]}] 总结 以上便是对于 OPA 的一个大致介绍,OPA 的应用场景有很多,后续文章中将为大家分享 OPA 在 Kubernetes 中的应用,和将 OPA 应用与 CI/CD
3K21编辑于 2021-12-09 - 来自专栏ThoughtWorks
Policy as Code之OPA实现
为了解决这个问题,可以使用OPA(Open Policy Agent)进行策略控制。 OPA 可以通过定义的策略查询输入数据,并生成决策。 OPA 并不负责具体任务的执行,它仅负责决策。请求通过 JSON 方式传递给 OPA,决策结果也以 JSON 的形式返回。 OPA 原理 OPA 将策略执行与决策解耦。当软件需要做出决策时,它向OPA 查询并提供结构化数据(例如JSON)作为输入。 其工作原理如下图所示: 请求达到OPA Server之后,OPA会将输入的JSON数据作为数据源,并使用定义的规则进行查询。 OPA 将查询的结果返回给Server端。 默认情况下,OPA 监会监听在 8181 端口。 打开postman访问 OPA server, postman信息如下 OPA策略执行流程分析 下图中的请求何满足策略规则呢?
1.1K10编辑于 2023-08-08 - 来自专栏k8s技术圈
云原生策略引擎 OPA 介绍
OPA(发音为 “oh-pa”)是一个全场景通用的轻量策略引擎(Policy Engine),OPA 提供了声明式表达的 Rego 语言来描述策略,并将策略的决策 offload 到 OPA,从而将策略的决策过程从策略的执行中解耦 OPA 的应用 集成 OPA OPA 的运行依赖于 Rego 运行环境,因此 OPA 提供了两种主要的使用方式: Go Library:直接将 Rego 的运行环境以库的形式整合到用户服务中。 OPA 的生态 OPA 的开发历史 OPA 是由 Styra 公司于 2016 年左右发起并主导开发,目前是 CNCF 孵化项目,仍处于开发阶段(最新版本号为 0.19)。 项目相关项目的讨论 OPA 存在的问题 OPA 的开销 OPA 的开销简单可分为两方面:Policy 执行性能开销和引入 OPA 层可能带来的网络开销。 虽然 Rego 语言为 OPA 带来统一且强大的 DSL,但同样也为 OPA 的落地增加了难度。
4.1K10发布于 2020-12-01 - 来自专栏伪架构师
用 Pipy 实现 OPA
中,通过 kube-mgmt 容器监控 configmap 的改动,将 Policy 推送到同 pod 的 opa 容器中。 实际的使用中,Pipy 支持轮训的方式检查控制平面中规则的变更,并实时加载;也可以实现与 OPA 的 kube-mgmt 同样的逻辑。 配置 TLS,使用 openssl 创建证书颁发机构(certificate authority CA)和 OPA 的证书/秘钥对。 完全替代可能夸张了一些,但确实在部分场景下可以替代 OPA。 玩到这里,你会发现有了规则,加上功能强大的过滤器(现在我喜欢叫他们 Hook 了),Pipy 的可玩性非常强。 比如OPA: Kubernetes 准入控制策略 Top 5,比如...。大胆的想象吧。 想写一个系列,就叫“如何把 Pipy 玩坏”?
97340发布于 2021-08-12 - 来自专栏云云众生s
策略引擎对决——OPA与OpenFGA与Cedar
策略引擎大比拼:OPA vs. OpenFGA vs. Cedar – 深入探讨领先策略引擎的优势、权衡和用例。了解 OPA 在授权、可扩展性和采用方面与 OpenFGA 和 Cedar 的比较。 Topaz:基于 OPA 的速度和灵活性 Aserto 的首席执行官 Omri 展示了Topaz,这是一个基于开放策略代理 (OPA) 但针对应用程序级授权而定制的策略引擎。 OPA:一个通用的策略引擎 Tyler,开放策略代理 (OPA) 的核心贡献者,阐述了它的多功能性和灵活性。 “OPA是一个通用的策略引擎,可以在任何需要的地方使用。 OPA:支持两种方法 Tyler解释了开放策略代理 (OPA) 如何允许开发人员使用策略驱动或数据驱动的方法——或两者的组合。 “OPA将策略和数据组合成可以预加载到系统中的包。 多用途:跨用例的灵活性 Tyler 将 OPA 作为多用途策略引擎的主要示例: “OPA 非常灵活,可用于各种场景。
1K10编辑于 2025-01-18 - 来自专栏云云众生s
如何利用Opa Gatekeeper为Kubernetes集群编写策略
如何建立一个策略分配系统;Kubernetes 和 OPA 在幕后如何运作。 在集群中编写和运行策略所需的一切。 什么是 Open Policy Agent (OPA)? 如果您不熟悉 OPA,可以快速了解其工作原理和实现细节,请参阅 这篇文章 OPA 和 Kubernetes 如何协同工作? 了解这一点很重要,因为这是 Open Policy Agent (OPA) 的切入点。 使用 OPA Gateway 在 Kubernetes 集群中编写策略 为了进一步了解 OPA Gatekeeper 在 Kubernetes 中的优势和集成范围,我们将在这篇文章中涵盖以下用例: 定义命名空间策略 OPA gatekeeper :确保 OPA gatekeeper 已安装在您的集群中。 Docker 和 DockerHub 帐户 立即开始。 1.
96910编辑于 2024-06-28 - 来自专栏CNCF
使用OPA Gatekeeper执行Kubernetes的政策和治理
Gatekeeper是Kubernetes的一个可定制的准入webhook,它执行Open Policy Agent (OPA)的政策,OPA是CNCF托管的云原生环境的政策引擎。 Gatekeeper v1.0 - 使用OPA作为准入控制器,kube-mgmt边车(sidecar)执行基于configmap的政策。 在验证过程中,Gatekeeper充当API服务器和OPA之间的桥梁。API服务器将强制执行OPA执行的所有政策。 政策和约束 通过集成OPA约束框架,一个约束(Constraint)是作者希望系统满足给定需求集的声明。 配置要复制的Kubernetes数据,请创建一个同步配置资源,其中包含要复制到OPA中的资源。例如,下面的配置将所有名称空间和pod资源复制到OPA。
2.8K20发布于 2019-12-04 - 来自专栏伪架构师
(译)用 Notary 和 OPA 在 Kubernetes 上使用内容签名
OPA 就是最好的实现 Mutaiting 和 Validating Webhook 的方法之一。 什么是 OPA OPA 是一个通用的策略引擎,它使用一种高级的声明式语言(Rego)编写策略。 在 Kubernetes 上安装 OPA 我们希望在 Kubernetes 上借助 OPA/Rego 的弹性策略实现内容信任机制。然而在开始之前,首先要在集群上部署 OPA。 Kubernetes 和 OPA 之间的通信必须是 TLS 加密的,因此需要给 OPA 创建额外的证书和密钥。 opa opa 在安装结束之后,可以在终端打开一个新 Tab,会看到 OPA 日志中 API Server 的进入请求。 : true mutating: true # switch to namespace opa helm upgrade --install opa opa OPA 中的 Mutating Webhook
3K31发布于 2020-11-04 - 来自专栏k8s技术圈
使用 Kube-mgmt 将 OPA 集成到 Kubernetes 集群中
概述 OPA 将策略决策与策略执行分离,当应用需要做出策略决策时,它会查询 OPA 并提供结构化数据(例如 JSON)作为输入,OPA 接受任意结构化数据作为输入。 APIServer 将 webhook 请求中的整个对象发送给 OPA,OPA 使用准入审查作为输入来评估它已加载的策略。 首先创建一个名为 opa 的命名空间,可以让 OPA 从该命名空间中的 ConfigMap 去加载策略: ➜ kubectl create namespace opa 并将上下文更改为 opa 命名空间 kind: Service apiVersion: v1 metadata: name: opa namespace: opa spec: selector: app: opa kind: Service apiVersion: v1 metadata: name: opa namespace: opa spec: selector: app: opa
1.7K30编辑于 2022-04-06 - 来自专栏CNCF
策略即代码 —— Open Policy Agent(开放策略代理 OPA)简介
这就是开放策略代理(OPA)发挥作用的地方。引入 OPA 是为了创建一个统一的方法来执行堆栈中的安全策略。 OPA 如何工作? 为了进一步减少延迟,设计者决定 OPA 应该把所有的策略数据保存在内存中。这确保了 OPA 不会去查询另一个服务来请求数据。为了处理 OPA,你有一组 API,用于不同的目的。 • 构建、测试和调试策略的工具 :一组命令行工具,你可以使用,如 opa test、opa run、opa check 等。还有一个 VS Code 插件 [1],可以方便开发。 •OPA 就像一个服务顾问,为需要的服务做出授权决策。服务向 OPA 提出决策查询,然后 OPA 根据已经存储在其中的策略审查查询,并作出决策回应。•OPA 的设计是通用的,与平台无关。 • 策略可以用 Rego 编写,这是一种专门为 OPA 设计的语言。类似于 JavaScript,OPA 使其非常容易将纯英语规则转换为有效的 OPA 策略。
3.4K20发布于 2021-07-07 - 来自专栏CNCF
为什么使用OPA而不是原生的Pod安全策略?
在本文中,我们将演示如何使用OPA执行最细粒度的安全策略。 请注意,本文是一个系列的一部分,我们将基于“OPA作为代码介绍”和“集成OPA到Kubernetes”中获得的知识进行。如果你还没有这样做,请浏览本系列中已发表的文章。 使用OPA,你还可以对pods施加类似的控制,在本实验室中,我们将创建一个OPA策略,不允许在pods中创建有特权的容器。特权容器对主机的访问级别比非特权容器高。 ? 请注意,我们使用的OPA是使用kube-mgmt部署的,而不是OPA Gatekeeper。 Rego的策略代码 在本文中,我们假设你已经熟悉了OPA和Rego语言。 部署策略 OPA会在opa命名空间的ConfigMaps中找到它的策略。
1.6K20发布于 2020-09-04 - 来自专栏希里安
打造强大的集群权限控制:OPA部署与策略制定全流程
——《韩非子》 OPA介绍 OPA开放策略代理(OPA,发音为“oh-pa”)是一个开源的、通用的策略引擎,它可以统一跨栈的策略执行。 这就是 OPA 登场的时候。这位全能的保安 OPA 不仅仅会检查服务,还会检查进入大楼的任何东西。 如图所示: k8s集成OPA 再来看看怎么集成OPA: 部署 OPA: 在Kubernetes集群中,可以使用官方提供的Helm chart来部署OPA作为一个准入控制器。 编写和部署策略: OPA 将策略决策与策略执行分离,当应用需要做出策略决策时,它会查询 OPA 并提供结构化数据(例如 JSON)作为输入,OPA 接受任意结构化数据作为输入 使用Rego语言来定义你的策略 可以使用命令行工具如 kubectl 来模拟请求并查看OPA的响应。 监控 OPA: 为了确保 OPA 正在正常工作,你需要监控其性能和健康状况。
1.1K10编辑于 2024-03-07 - 来自专栏Rust语言学习交流
【Rust日报】2022-06-27 Rust 中使用 wasm 来执行 OPA 策略
Rust 中使用 wasm 来执行 OPA 策略 开放策略代理(Open Policy Agent, OPA)是一种开源的通用策略引擎,它支持跨整个环境中执行统一的上下文感知策略. OPA 是 云原生计算基金会(CNCF)的一个毕业项目。 本文介绍了如何在 Rust 中使用 wasm 来执行 OPA 的策略.
53720编辑于 2022-11-28 - 来自专栏LEo的网络日志
09 Jan 2022 在docker上启用open policy agent
docker可以启用很多插件,这里主要介绍opa插件,用于做策略控制。 安装opa插件 $ docker plugin install openpolicyagent/opa-docker-authz-v2:0.4 opa-args="-policy-file /opa/policies :0.4 A policy-enabled authorization plugin for Do… true $ docker info | grep opa Authorization: openpolicyagent/opa-docker-authz-v2:0.4 这里需要注意的是,安装插件默认会mount宿主机的/etc/docker/目录到插件中的/opa目录,这就是为什么我们创建的策略文件 authz.rego是位于/etc/docker/目录,安装插件指定的策略文件目录却是/opa。
77220编辑于 2023-10-17 - 来自专栏CNCF
CNCF宣布Open Policy Agent毕业
根据最近对150多个组织的OPA用户调查,91%的组织表示他们在从QA到生产的OPA采用的某些阶段使用OPA。超过半数的人表示,他们至少在两个用例中使用了OPA。 OPA最常见的用例是配置授权(例如Kubernetes准入控制)和API授权。 在CNCF孵化器期间,OPA进行了两次外部安全审计,其结果可以在这里[4]和这里[5]找到,OPA完成了SIG-Security评估过程[6]。 “多亏了OPA精简的策略语言,我可以把需要几十行代码的策略写成五六行。这意味着我可以一夜之间把我们现有的所有政策都转移到OPA,”Joe Searcy说,他是T-Mobile分布式系统的技术人员。 “社区、整合和表现让我们确信,OPA将满足我们在Atlassian的需求。”
84510发布于 2021-02-23
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号