本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。

这是尚未发布的文档。 Admission Controller 1.34-dev.

Open Policy Agent简介

Open Policy Agent支持已从以下版本开始引入:

  • kwctl: v0.2.0

  • policy-server: v0.2.0

Open Policy Agent(OPA)是一个通用的策略框架,使用Rego语言编写策略。

简介

Rego策略通过接收要评估的输入并生成响应输出来工作。 从这个意义上说,OPA没有针对Kubernetes编写策略的特定工具。

具体来说,OPA中的策略接收JSON输入并生成JSON输出。 OPA服务器配置为接收来自Kubernetes的准入审查请求。 策略以JSON格式接收Kubernetes `AdmissionReview`对象。 它们必须返回一个有效的`AdmissionReview`对象作为评估结果。

与现有策略的兼容性

所有策略都可以使用官方`opa` CLI工具编译为`wasm`目标(WebAssembly)。

在策略执行方面,您可以阅读更多关于在Admission Controller中实现的OPA内置支持的信息。