OPA Gatekeeper
Security-as-Code
Kontroler polityk dla Kubernetes — admission control na bazie OPA.
Gatekeeper to kontroler polityk dla Kubernetes oparty o Open Policy Agent. Działa jako admission webhook: zanim zasób trafi do klastra, sprawdza go względem polityk (ConstraintTemplate + Constraint) i odrzuca naruszenia. Polityki są deklaratywne (Rego), wersjonowane i audytowalne — to guardrails dla całego klastra „as-code”.
Kiedy używać
- Chcesz egzekwować reguły (np. wymagane labelki, zakaz
latest, limity) na poziomie klastra. - Standaryzujesz guardrails dla wielu zespołów/namespace’ów.
- Wolisz polityki w Rego, spójne z ekosystemem OPA.
Przykład użycia
apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sRequiredLabels
metadata: { name: must-have-owner }
spec:
match: { kinds: [{ apiGroups: [""], kinds: ["Namespace"] }] }
parameters: { labels: ["owner"] }
Próba utworzenia namespace bez owner zostanie odrzucona.