[英]requests through the Kubernetes cluster by OPA
我想在 kubernetes 中使用 OPA(开放策略代理),但有一些问题我还不清楚:
我们一起来看一个具体的案例:比如在一个命名空间中创建了一个 pod,我们可以从 OPA 的 pod object 中知道命名空间。 但是,我们可以单独获取命名空间 object 来了解这个命名空间所属的权限吗?
更明确地说,我的意思是我们可以通过 OPA 通过 Kubernetes 集群进行请求吗?
例如,有一个名为 Test 的 pod 创建。 我只想允许这个创建只用于一个名为 TestAuthority 的权限。 创建 Pod 时,我们知道命名空间数据,但不知道权限。 为了弄清楚这个 pod 所属的权限,我需要有命名空间 object 并查看它的标签。 我们可以通过 OPA 这样做吗?
此外,我们是否可以说允许使用 Test1、Test2 和 Test3 的名称创建 pod? 因此,应该拒绝任何名称为 Test4 的 pod 创建。
预先感谢您的帮助
(1) 是的,请参阅https://github.com/open-policy-agent/kube-mgmt#caching或https://github.com/open-policy-agent/gatekeeper#replicating-data取决于您的集成想用。 两者都允许将对象从 kubernetes 复制到 OPA 以在策略中引用。
(2) 是的,您可以编写这样的策略。
信用:Patrick East 从 OPA Slack 回答
GKE上的联合Kubernetes集群中的HPA +集群自动缩放器+ OPA
[英]HPA + Cluster Autoscaler + OPA within Federated Kubernetes cluster on GKE
通过 kubernetes 中的 Gatekeeper 应用 ServiceAccount 特定的 OPA 策略
[英]Applying ServiceAccount specific OPA policies through Gatekeeper in kubernetes
Kubernetes - 通过 Terraform 升级 Kubernetes 集群版本
[英]Kubernetes - Upgrading Kubernetes-cluster version through Terraform
如何在kubernetes集群中的所有资源上执行资源限制/请求?
[英]How to enforce Resource Limits/Requests on all resources in a kubernetes cluster?
在 Kubernetes 集群内没有解决外部 DNS 请求
[英]No external DNS requests are being resolved inside Kubernetes cluster
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
