[英]requests through the Kubernetes cluster by OPA
我想在 kubernetes 中使用 OPA(開放策略代理),但有一些問題我還不清楚:
我們一起來看一個具體的案例:比如在一個命名空間中創建了一個 pod,我們可以從 OPA 的 pod object 中知道命名空間。 但是,我們可以單獨獲取命名空間 object 來了解這個命名空間所屬的權限嗎?
更明確地說,我的意思是我們可以通過 OPA 通過 Kubernetes 集群進行請求嗎?
例如,有一個名為 Test 的 pod 創建。 我只想允許這個創建只用於一個名為 TestAuthority 的權限。 創建 Pod 時,我們知道命名空間數據,但不知道權限。 為了弄清楚這個 pod 所屬的權限,我需要有命名空間 object 並查看它的標簽。 我們可以通過 OPA 這樣做嗎?
此外,我們是否可以說允許使用 Test1、Test2 和 Test3 的名稱創建 pod? 因此,應該拒絕任何名稱為 Test4 的 pod 創建。
預先感謝您的幫助
(1) 是的,請參閱https://github.com/open-policy-agent/kube-mgmt#caching或https://github.com/open-policy-agent/gatekeeper#replicating-data取決於您的集成想用。 兩者都允許將對象從 kubernetes 復制到 OPA 以在策略中引用。
(2) 是的,您可以編寫這樣的策略。
信用:Patrick East 從 OPA Slack 回答
GKE上的聯合Kubernetes集群中的HPA +集群自動縮放器+ OPA
[英]HPA + Cluster Autoscaler + OPA within Federated Kubernetes cluster on GKE
通過 kubernetes 中的 Gatekeeper 應用 ServiceAccount 特定的 OPA 策略
[英]Applying ServiceAccount specific OPA policies through Gatekeeper in kubernetes
Kubernetes - 通過 Terraform 升級 Kubernetes 集群版本
[英]Kubernetes - Upgrading Kubernetes-cluster version through Terraform
如何在kubernetes集群中的所有資源上執行資源限制/請求?
[英]How to enforce Resource Limits/Requests on all resources in a kubernetes cluster?
在 Kubernetes 集群內沒有解決外部 DNS 請求
[英]No external DNS requests are being resolved inside Kubernetes cluster
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
