← Katalog
E I A C

OPA Gatekeeper

Security-as-Code

Kontroler polityk dla Kubernetes — admission control na bazie OPA.

★ 4200 Apache-2.0 #security#policy-as-code#kubernetes#admission

Gatekeeper to kontroler polityk dla Kubernetes oparty o Open Policy Agent. Działa jako admission webhook: zanim zasób trafi do klastra, sprawdza go względem polityk (ConstraintTemplate + Constraint) i odrzuca naruszenia. Polityki są deklaratywne (Rego), wersjonowane i audytowalne — to guardrails dla całego klastra „as-code”.

Kiedy używać

  • Chcesz egzekwować reguły (np. wymagane labelki, zakaz latest, limity) na poziomie klastra.
  • Standaryzujesz guardrails dla wielu zespołów/namespace’ów.
  • Wolisz polityki w Rego, spójne z ekosystemem OPA.

Przykład użycia

apiVersion: constraints.gatekeeper.sh/v1beta1
kind: K8sRequiredLabels
metadata: { name: must-have-owner }
spec:
  match: { kinds: [{ apiGroups: [""], kinds: ["Namespace"] }] }
  parameters: { labels: ["owner"] }

Próba utworzenia namespace bez owner zostanie odrzucona.

Warto wiedzieć

  • Statyczne sprawdzanie tych samych reguł w CI realizuje Conftest.
  • Alternatywa trzymająca polityki w YAML (bez Rego): Kyverno.
  • Wykrywanie ryzyka uzupełnia Kubescape.