day28 : OPA规范k8s yaml(上)

k8s上能够流程化的进行布署与管理後，进一步地可以探讨应该如何进行安全性的议题，一部分可以透过rbac控管resource的存取，也可以透过sso的方式管理登入者验证，外部存取透过api gateway控管，那麽进一步的就是yaml的限制了，为什麽要限制yaml呢？又什麽是限制yaml呢？

这两个问题原因在於k8s就是一个服务的平台，只要有权限并且符合resource的spec就可以布署上来，因此很容易造成一些问题像是有人使用来源不明的image、使用到privileged权限等等可能有资安问题的风险，同时也可以制定一些管理规范诸如image不可以使用latest这种具有风险的tag、避免缺少label的问题，使用open policy agent就可以在服务布署到k8s上时多一层管控来验证yaml的内容是否符合规范。

那麽opa是怎麽运作的呢？

OPA的运行是透过gatekeeper来作业的，在配置好opa gatekeeper後，定义constraints policy说明yaml要遵守的规则与yaml会透过怎样的rego语法检核，这样yaml在宣告给k8s api时就会去确认是否有符合所有opa的规范，没有符合的话deployment的事件将会记录被opa挡下来并且无法布署服务。