Rego 不好用？用 Pipy 实现 OPA

文章/答案/技术大牛

发布

Pipy 内置了自研的 pjs 作为脚本扩展，使得Pipy 可以用 JS 脚本根据特定需求快速定制逻辑与功能。 Pipy 采用了模块化、链式的处理架构，用顺序执行的模块来对网络数据块进行处理。...•初探可编程网关 Pipy•可编程网关 Pipy 第二弹：编程实现 Metrics 及源码解读•可编程网关 Pipy 第三弹：事件模型设计在使用OPA的时候，一直觉得Rego不是那么顺手，使用pipy...来，一起看看这个“不务正业”的 Pipy 如何实现 Kubernetes 的准入控制器来做镜像的检查。...实际的使用中，Pipy 支持轮训的方式检查控制平面中规则的变更，并实时加载；也可以实现与 OPA 的 kube-mgmt 同样的逻辑。...哪哪都好，唯一缺点就是其引进的 Rego 语言抬高了使用的门槛。

9684 0

云原生策略引擎 OPA 介绍

如上图所示，在 OPA 的方案下我们对 Policy 的执行可抽象成以下 3 个步骤：用 Rego 语言描述具体的 Policy 当某个服务需要执行 Policy 时将这个动作（Query）交给 OPA...当服务需要执行 Rego 代码时，只需要调用相关的 API 即可 REST API：如果服务不是用 Go 编写，为了拥有 Rego 运行环境，此时则必须使用 REST API。...ConstraintTemplate 的 rego 字段用 Rego 语言具体描述了 Policy，但并没有指定 Policy 中具体的参数。...无论如何，当前业务代码都必须进行相应程度的改造才能适用于 OPA，比如：在自身项目中集成 OPA 将原来的 Policy 抽象用 Rego 来描述类似的项目社区中除了 OPA 之后，还有一些类似的与...：实现新的 Policy 只需要写新的 Policy DSL 即可，无须改变业务和框架层逻辑，理论上编写 DSL 代码的复杂度要远远小于用原生语言开发；更细粒度和高效的安全保障：代码化后的 Policy

4.1K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

Rego的第二个设计原则：接受分层数据

这是关于Open Policy Agent（OPA）策略语言Rego背后的设计原则的博客系列的第二部分。前面我们描述了如何将Rego的语法设计为反映真实策略的结构。...OPA和Rego都不明白这些数据在现实世界中意味着什么，但策略作者却明白。策略作者编写Rego对浏览这些JSON文档的逻辑进行编码，并将其与硬编码的值或其他JSON位进行比较，以便做出决策。...Python中显示的分解路径方法更接近于策略的实现，而不是策略本身。当然，Rego具有足够的灵活性，你可以根据需要分解路径。...Rego的设计是为了适应它周围的世界--而不是反过来。这导致与OPA集成的障碍很低，通常不需要特定于OPA的代码。 Rego对检查JSON值提供了一流的支持。...Rego的灵活性使它适用于各种各样的用例，而且使它很容易跨云原生堆栈集成OPA。感谢Eileen Kemp、Chris Webber和Ash Narkar。

3.2K2 0

Dapr 集成 Open Policy Agent 实现接口的访问控制

Dapr 的中间件 Open Policy Agent 将Rego/OPA策略应用到传入的Dapr HTTP请求中。...OPA将策略从代码中分离出来，按照官网的说法OPA实现了策略即代码，通过Rego声明式语言实现决策逻辑，当系统需要做出策略时，只需携带请求查询OPA即可，OPA会返回决策结果。...OPA 的策略可以用 Rego 编写，这是一种专门为 OPA 设计的语言。类似于 JavaScript，OPA 使其非常容易将规则转换为有效的 OPA 策略。那么我们为什么需要OPA?...Http API中使用OPA授权我们在Dapr 实现的Http服务中引入OPA来实现Http API授权。...OPA 策略阻止首先需要实现策略，拒绝所有访问HTTP 请求，通过Rego实现如下： apiVersion: dapr.io/v1alpha1 kind: Component metadata: name

8902 0

走马观花云原生技术（12）：规则管理Open Policy Agent

理解了Policy Engine之后，那就可以开始正式讲到今天的主角了，OPA 什么是Open Policy Agent （OPA) OPA就是一个Policy Engine实现，而且是一个独立的，不耦合特定平台与服务的...OPA的优势是： 1. 架构上的独立与耦合，不与特定的技术或场景耦合，适合K8S及其它场景下的Policy的实现与管理 2....Policy Policy是策略，在OPA中，使用的是一个声明式语言Rego，通过Rego来定义Policy 我们定义如下的Policy: • 任意一个服务，如果开放了http协议，则认为不安全，禁止...语言来定义，意味着如果你想写好OPA，学习Rego是必不可少的使用OPA来执行与运行这个Policy与Input ....结论 OPA的应用可能并不普通，大多数情况下，可能并不会在自己的架构上再加一层OPA，这增加了复杂度，而且需要学习一个Rego的声明式语法，也需要付出成本。

1.3K2 0

使用 Kube-mgmt 将 OPA 集成到 Kubernetes 集群中

我们这里主要讲解在 Kubernetes 中如何集成 OPA，在 Kubernetes 中 OPA 是通过 Admission Controllers 来实现安全策略的。...容器可以用哪些操作系统的能力来执行系统在一天中的哪些时间可以被访问策略决定不限于简单的是/否或允许/拒绝，与查询输入一样，你的策略可以生成任意结构化数据作为输出。...OPA 的策略是用一种叫做 Rego 的高级声明性语言来声明的，Rego 是专门为表达复杂的分层数据结构的策略而设计的。...这个其实和我们自己去实现一个准入控制器是类似的，只是不需要我们去编写代码，只需要编写策略规则，OPA 就可以根据我们的规则去对输入的对象进行验证。...实际上是调用的下方的 fqdn_matches 函数来实现的。

1.7K3 0

Open Policy Agent(OPA) 入门实践

OPA 是什么前面我们已经介绍过 Open Policy Agent (OPA) 是一种开源的通用策略引擎，可在整个堆栈中实现统一、上下文感知的策略控制。...Rego OPA 中的策略是以 Rego 这种 DSL(Domain Specific Language) 来表示的。...Rego 允许策略制定者可以专注于返回内容的查询而不是如何执行查询。同时 OPA 中也内置了执行规则时的优化，用户可以默认使用。...（查询中将多个表达式连接在一起时，表示的是逻辑 AND） img 图 6 ，Rego 规则或的完全规则和部分规则示例图 OPA 的使用 OPA 的使用还是比较简单的，我们来看一下。...将 OPA 嵌入为库的最简单方法是导入 github.com/open-policy-agent/opa/rego 包。

3K2 1

09 Jan 2022 在docker上启用open policy agent

定义一个策略 $ cat /etc/docker/policies/authz.rego package docker.authz default allow = false allow {...安装opa插件 $ docker plugin install openpolicyagent/opa-docker-authz-v2:0.4 opa-args="-policy-file /opa/policies.../authz.rego" $ cat > /etc/docker/daemon.json <<EOF { "authorization-plugins": ["openpolicyagent/opa-docker-authz-v2...authz.rego是位于/etc/docker/目录，安装插件指定的策略文件目录却是/opa。...还可以定义其他规则，比如检查user的权限等，都可以通过策略文件实现精确控制。

7662 0

（译）Kubernetes 策略引擎对比：OPAGatekeeper vs Kyverno

我过去还曾对 OPA Rego 提出过一些批评。然而，我的目标是把所有这些和任何个人感情放在一边，并试图以全新的方式来对待这两个项目，没有任何偏见和偏爱。...Gatekeeper 实现了请求验证功能，最近还加入了变异能力。OPA 的一个主要特征是依赖于使用一种叫做 Rego 的专用编程语言，这种语言被用来实现策略决策的必要逻辑。...通过 Rego，OPA 能够广泛适用于包括 Kubernetes 在内的多种不同的软件，实现高层次的逻辑操作。...对于 Gatekeeper 来说，到目前为止最大的弱点是它需要一种叫做 Rego 的专门的编程语言来实现这种逻辑，这种语言在其他地方都无法使用。这是一个现实，因为 OPA 是一个通用的策略引擎。...如果要为一个更复杂、更困难的工具支付额外的价格，就应该尽量物尽其用，否则无法获得价值。太长不看：如果无需实现高度复杂的策略，Gatekeeper 不会带来好处。

1.7K2 0

策略即代码 —— Open Policy Agent（开放策略代理 OPA）简介

上文中，我们探讨了策略执行和 OPA 试图解决的问题，现在，让我们来看看它是如何工作的。假设你正在实现我们示例应用程序的支付服务。这个服务负责处理客户的付款。它暴露了一个 API，接受客户的付款。...部署当涉及到部署 OPA 时，你有多个选择，这取决于你的具体场景。 • 作为 Go 库：如果你的应用程序是用 Golang 写的，你可以把 OPA 作为应用程序中的第三方库来实现。...初试 OPA 策略到现在为止，你应该对 OPA 诞生的原因，它试图解决的问题，以及它的设计和管理方式有了相当清晰的认识。现在是试水的时候了，看看用 Rego 语言创建一个策略是什么样子。...第一步是用简单的英语定义你的策略。比如说：“客户应该能够查看自己的付款。财务部门的工作人员应该能够查看任何客户的付款。” 下一步是将策略转换为 Rego 代码。...• 策略可以用 Rego 编写，这是一种专门为 OPA 设计的语言。类似于 JavaScript，OPA 使其非常容易将纯英语规则转换为有效的 OPA 策略。

3.3K2 0

Policy as Code之OPA实现

为实现这种控制，可以采用策略控制的方法。然而，实施策略控制需要修改代码，而且策略通常很分散。为了解决这个问题，可以使用OPA（Open Policy Agent）进行策略控制。...OPA 策略 OPA 中的策略是以 Rego 这种DSL(Domain Specific Language)来表示的。每个规则都是由头部和主体组成。...下面的案例中有具体代码，可在后面的章节详细了解rego编写。 OPA 原理 OPA 将策略执行与决策解耦。当软件需要做出决策时，它向OPA 查询并提供结构化数据（例如JSON）作为输入。...如何使用OPA 案例一：OPA 实现API权限控制如果要实现放行角色为admin的用户请求，并且所有人都能够访问路径为/public的GET类型的API，我们可以探究一下OPA 如何实现这个需求：规则代码...Gatekeeper是一个开源的使用OPA来定义和执行策略的系统下文将实现不允许在default namespace中部署deployment资源的案例。

1.1K1 0

Kubernetes 策略引擎对比：OPAGatekeeper 与 Kyverno

过去我也对 OPA/Rego 持批评态度。然而，我在这里的目标是将所有这些以及任何个人感受放在一边，并尝试以新鲜的方式处理这两个项目，没有偏见，也不会偏爱一个。...Gatekeeper 实现了请求验证功能，最近还加入了变异能力。OPA 的一个主要特征是依赖于使用一种叫做 Rego 的专用编程语言，这种语言被用来实现策略决策的必要逻辑。...通过 Rego，OPA 能够广泛适用于包括 Kubernetes 在内的多种不同的软件，实现高层次的逻辑操作。...对于 Gatekeeper 来说，到目前为止最大的弱点是它需要一种叫做 Rego 的专门的编程语言来实现这种逻辑，这种语言在其他地方都无法使用。这是一个现实，因为 OPA 是一个通用的策略引擎。...如果要为一个更复杂、更困难的工具支付额外的价格，就应该尽量物尽其用，否则无法获得价值。如果无需实现高度复杂的策略，Gatekeeper 不会带来好处。

1.1K2 0

使用OPA Gatekeeper执行Kubernetes的政策和治理

这允许为Rego政策创建政策模板，将政策创建为CRD，并在政策CRD上存储审计结果。这个项目是谷歌、微软、红帽和Styra之间的协作。...在验证过程中，Gatekeeper充当API服务器和OPA之间的桥梁。API服务器将强制执行OPA执行的所有政策。...每个约束都是用Rego编写的，Rego是OPA用来枚举违反系统预期状态的数据实例的声明式查询语言。所有约束都被评估为一个逻辑和（logical AND）。如果一个约束不满足，那么整个请求将被拒绝。...配置要复制的Kubernetes数据，请创建一个同步配置资源，其中包含要复制到OPA中的资源。例如，下面的配置将所有名称空间和pod资源复制到OPA。...如果你有兴趣帮助定义Gatekeeper的方向，请加入OPA Slack上的#kubernetes-policy通道，并加入我们的每周会议，讨论开发、问题、用例等。

2.8K2 0

istio1.9中新的外部授权策略

•您想与第三方解决方案（例如，opa 或oauth2代理）集成，该解决方案可能需要使用Istio中的底层Envoy配置API，或者根本无法使用。•对于您的用例，授权策略缺乏必要的语义。...解决方案在istio 1.9中，引入了 CUSTOM action来实现对授权策略的可扩展性，该操作使您可以将访问控制决策委派给外部授权服务。...CUSTOM action使您可以将Istio与实现其自己的自定义授权逻辑的外部授权系统集成。下图显示了此集成的高级体系结构： ?...- name: "my-ext-authz-service" # "envoyExtAuthzGrpc"字段指定由Envoy ext-authz过滤器gRPC API实现的外部授权服务的类型。...--from-file policy.rego 部署httpbin和OPA 启用sidecar注入 kubectl label ns default istio-injection=enabled 运行以下命令以部署示例应用程序

2K1 0

如何利用Opa Gatekeeper为Kubernetes集群编写策略

Open Policy Agent (OPA) 帮助我们使用 Rego 编写策略即代码，Rego 是一种专门为此目的而设计的声明式语言。...如果您不熟悉 OPA，可以快速了解其工作原理和实现细节，请参阅这篇文章 OPA 和 Kubernetes 如何协同工作？...本质上，您可以选择使用 Open Policy Agent (OPA) 或编写自己的自定义准入控制器，具体取决于您计划在 Kubernetes 环境中实现的自定义范围。...定义命名空间策略对于此用例，我们写一个 OPA 策略，其中指出每个命名空间创建请求都应该添加一个注释。...我们还逐步介绍了使用实际用例实现 kubernetes 策略。在您的 kubernetes 设置中使用策略是一种创造性的方法，可以充分探索容器化部署中的功能，并使其更加安全。

9431 0

基于策略驱动的可插拔隐私计算框架(PDPPC):跨平台互联互通标准

OPA的声明式语言Rego专门处理复杂层级数据结构决策,适合表达法律条文的条件逻辑。任何对数据平面的调用请求首先被控制平面的**策略执行点(PEP)**拦截。...PEP将请求上下文(数据敏感级别、发起者身份、存储地、计算目的等)打包发送给OPA。OPA根据预加载的Rego策略库评估,返回Allow(允许)、Deny(拒绝)或Obligation(附加义务)。...策略支持热加载——当PIPL发布新司法解释时,合规团队仅需更新Rego脚本,无需重启底层MPC计算节点,真正实现"法律法规的可插拔"。...PDPPC通过**"加密粉碎"(Crypto-Shredding)与"版本化索引"**机制实现:控制平面维护用户ID到数据分片索引的映射表用户删除请求经API网关调用OPA验证合法性TEE场景:销毁解密该用户记录的特定密钥...5.安全模型与未来展望5.1双重信任根架构PDPPC采用**"双重信任根"**安全模型:代码信任(TrustinCode):由控制平面的OPA/Rego策略和开源MPC协议保证,防止逻辑漏洞和违规操作物理信任

1901 0

基于策略驱动的可插拔隐私计算框架 (PDPPC)：智能调度系统

策略即代码(Policy-as-Code)的实现目前,OpenPolicyAgent(OPA)已成为云原生环境下策略引擎的事实标准。...当数据平面准备执行一个跨节点的MPC聚合操作时,它会向控制平面发送包含参与方ID、数据敏感级别、算法类型、网络拓扑等上下文信息的JSON对象声明式语言Rego:OPA使用Rego语言编写策略。...代码实现以下是一个简化的Rego策略片段,用于在控制平面中强制执行PIPL的数据本地化和跨境传输限制:packageprivacy.compliance.pipldefaultallow=false#主规则...如果说控制平面决定了"能不能算",数据平面解决了"怎么算",那么路由器则决定了"去哪算"以及"用什么引擎算"。...核心结论OPA是控制平面的基石:Rego语言的表达能力足以覆盖GDPR和PIPL等复杂法规,部分评估特性使其能支撑大规模系统的毫秒级鉴权TEE是AI隐私计算的性能救星:在当前网络带宽和密码学效率下,TEE

1690 0

Rego Playground：新特性

作者：Torin Sandall 去年这个时候，我们推出了Rego游乐场（Rego Playground）。游乐场提供了一个在线交互环境，用户可以在这里试验和共享OPA策略。...我们并没有试图告诉每个人都去RTFM，而是决定为游乐场预加载一个常见用例的示例目录，比如Kubernetes准入控制、Envoy做API的授权等等： ? 目录可以搜索和过滤。...随着时间的推移，我们计划继续整理目录，以确保它们在策略语言中展示通用的用例和模式。...特性：用OPA包做试验当你编写了几个策略或修改了现有的策略，接下来你通常希望看到的是如何部署OPA并将策略分发给OPA。 OPA支持一个称为包“bundle”的特性，支持策略发现和分发。...当你发布了你的策略，游乐场将显示以下步骤：下载并在本地运行OPA 配置OPA以使用你发布的策略使用来自游乐场的输入测试策略从同一浏览器窗口发布的对策略的任何编辑都将传播到配置为使用游乐场包的OPA

1.3K1 0

K8S 生态周报| Podman 开始废弃 CNI plugins, 推进自己的网络堆栈

(MoeLove)➜ opa run > 1/0 > undefined 为了便于调试，OPA 提供了 --strict-builtin-errors 参数，可以允许用户得到执行期间的发现的第一个错误...效果如下： (MoeLove)➜ opa eval --strict-builtin-errors -d multi-error.rego data.play 1 error occurred: multi-error.rego...效果如下： (MoeLove)➜ opa eval --show-builtin-errors -d multi-error.rego data.play -f pretty 2 errors occurred...: multi-error.rego:4: eval_builtin_error: div: divide by zero multi-error.rego:8: eval_builtin_error:...这些项目基本上是对照着 Docker 生态中的组件来自己实现了一遍，并且纳入到了该组织下。它的背后最主要的公司是 Red Hat 。所以目前在容器领域，基本可以认为存在有两个阵营，看后续的发展吧。

1.1K1 0

使用 Gatekeeper 进行 OPA 策略管理

前面我们介绍了使用 kube-mgmt 这个 sidecar 容器来完成 OPA 策略的自动同步，此外还有另外一个更加高级的工具 Gatekeeper，相比于之前的模式，Gatekeeper(v3.0)...准入控制器集成了 OPA Constraint Framework，以执行基于 CRD 的策略，并允许声明式配置的策略可靠地共享，使用 kubebuilder 构建，它提供了验证和修改准入控制和审计功能...这允许为 Rego 策略创建策略模板，将策略创建为 CRD，并在策略 CRD 上存储审计结果，这个项目是谷歌、微软、红帽和 Styra 一起合作实现的。...27T06:47:25Z providers.externaldata.gatekeeper.sh 2022-03-27T06:47:25Z Gatekeeper 使用 OPA...: match: kinds: - apiGroups: [""] kinds: ["Namespace"] 由于约束模板或者说策略库具有一定的通用性，所以 OPA

9643 0

点击加载更多

Rego 不好用？用 Pipy 实现 OPA

云原生策略引擎 OPA 介绍

Rego的第二个设计原则：接受分层数据

Dapr 集成 Open Policy Agent 实现接口的访问控制

走马观花云原生技术（12）：规则管理Open Policy Agent

使用 Kube-mgmt 将 OPA 集成到 Kubernetes 集群中

Open Policy Agent(OPA) 入门实践

09 Jan 2022 在docker上启用open policy agent

（译）Kubernetes 策略引擎对比：OPAGatekeeper vs Kyverno

策略即代码 —— Open Policy Agent（开放策略代理 OPA）简介

Policy as Code之OPA实现

Kubernetes 策略引擎对比：OPAGatekeeper 与 Kyverno

使用OPA Gatekeeper执行Kubernetes的政策和治理

istio1.9中新的外部授权策略

如何利用Opa Gatekeeper为Kubernetes集群编写策略

基于策略驱动的可插拔隐私计算框架(PDPPC):跨平台互联互通标准

基于策略驱动的可插拔隐私计算框架 (PDPPC)：智能调度系统

Rego Playground：新特性

K8S 生态周报| Podman 开始废弃 CNI plugins, 推进自己的网络堆栈

使用 Gatekeeper 进行 OPA 策略管理

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐