我想了解什么是OPA(open policy agent)和它的用途,目前还处于基础阶段。当我阅读OPA文章时,我知道了OPA守门人,但我没有清楚地了解为什么我们需要这个OPA守门人,我们可以使用它来审计kubernetes中的所有类型的策略,如Pod调度,集群放置,授权等,或者它只限于kubernetes的准入控制阶段?
根据官方文档。
Kubernetes允许通过接纳控制器webhooks将策略决策与API服务器解耦,以在接纳请求作为对象持久化在Kubernetes中之前拦截这些请求。守门人 创立的目的是让用户能够通过配置而不是代码来定制接纳控制,并带来对集群状态的认识,而不仅仅是接纳时正在评估的单个对象。 守门人 是Kubernetes的一个可定制的接纳webhook,它可以执行由开放策略代理(OPA)执行的策略。
验证准入控制
一旦在集群中安装了所有 Gatekeeper 组件,每当集群中的资源被创建、更新或删除时,API 服务器就会触发 Gatekeeper 的接纳 webhook,以处理接纳请求。
稽核:当群集中的资源被创建、更新或删除时,API服务器将触发Gatekeeper的接纳webhook来处理接纳请求。
通过审计功能,可以根据集群中执行的约束定期评估复制的资源,以检测以前存在的错误配置。Gatekeeper 将审计结果存储为相关 Constraint 的状态字段中列出的违规行为。默认情况下,审计将在每个审计周期内从Kubernetes API中请求每个资源。
而简单的回答你的问题:Gatekeeper的设计是为了同时照顾到接纳场景和复制资源的审计。
资料来源
如果有帮助,请告诉我。