day28 : OPA规范k8s yaml(上)

k8s上能够流程化的进行布署与管理後,进一步地可以探讨应该如何进行安全性的议题,一部分可以透过rbac控管resource的存取,也可以透过sso的方式管理登入者验证,外部存取透过api gateway控管,那麽进一步的就是yaml的限制了,为什麽要限制yaml呢?又什麽是限制yaml呢?

这两个问题原因在於k8s就是一个服务的平台,只要有权限并且符合resource的spec就可以布署上来,因此很容易造成一些问题像是有人使用来源不明的image、使用到privileged权限等等可能有资安问题的风险,同时也可以制定一些管理规范诸如image不可以使用latest这种具有风险的tag、避免缺少label的问题,使用open policy agent就可以在服务布署到k8s上时多一层管控来验证yaml的内容是否符合规范。

那麽opa是怎麽运作的呢?
https://ithelp.ithome.com.tw/upload/images/20210928/20139661H4st14tSly.png
OPA的运行是透过gatekeeper来作业的,在配置好opa gatekeeper後,定义constraints policy说明yaml要遵守的规则与yaml会透过怎样的rego语法检核,这样yaml在宣告给k8s api时就会去确认是否有符合所有opa的规范,没有符合的话deployment的事件将会记录被opa挡下来并且无法布署服务。


<<:  Day13:SwiftUI—Navigation

>>:  【DAY 14】问卷、测验样样行 – Microsoft Form 让您搜集资料事半功倍!

第 8 天 迈出 RxJS 小小的一步|pipe、operators

前情提要 使用了 AsyncPipe 管道来取得所有英雄资料後,我们要在英雄资讯页面,传递参数来取得...

【Day 3】Git与Github入门

Git与Github关系? 说明 : Github是Git进行版本控制软件的服务平台供应商之一。 G...

Day12-记得要戴安全帽(二)

前言 昨天介绍了 Content Security Policy 跟 HTTP Strict Tra...

Day 34 - 实作 S3 驱动 Lambda 函数进行 YOLO 物件辨识

Day 34 - 实作 S3 驱动 Lambda 函数进行 YOLO 物件辨识 根据 Day 33 ...

#3 Python教学2

基本运算子 最最基本的运算子-赋值运算子 「=」 是最基本的运算子,它的作用是将 「=」 右方的数值...