翻译:Bach(才云)
校对:雾雾(才云)
OPA 项目地址:openpolicyagent.org
长期致力于云原生软件生态构建的云原生计算基金会(CNCF)于 2 月 4 日正式宣布,Open Policy Agent(OPA)成为第 15个毕业的项目。在晋升为毕业(graduation)级别的过程中,OPA 展现了其广泛的采用、开放的治理流程、完整功能成熟度以及对社区持续性和包容性的坚定承诺。
OPA 是一个开源的、通用的策略引擎,它支持跨整个堆栈执行统一的、上下文感知的策略。该项目于 2018 年 4 月进入 CNCF 沙箱,一年后进入孵化阶段。来自大约 30 个组织的 90 多名人员为 OPA 贡献力量,维护者来自四个组织,包括谷歌、微软、VMware 和 Styra。
去年 OPA 的增长就非常惊人。slack.openpolicyagent.org 上的用户数量增长了 3 倍(超过 3600 个用户),Docker 镜像下载数量超过了 3900 万(增长 1000%)。这种增长大部分原因在于大家对稳健策略的需求,即云原生生态系统中的代码解决方案。
目前,OPA 已被高盛、Netflix、Pinterest、T-Mobile 等机构广泛采用。根据最近对 150 多个组织的 OPA 用户调查,91% 的组织表示他们在从 QA 到生产阶段使用 OPA。超过半数的受访者表示,至少在两个用例中使用了 OPA。OPA 最常见的用例是配置授权(例如 Kubernetes 准入控制)和 API 授权。该项目已成功集成了几个 CNCF 项目,包括 Kubernetes、Envoy、CoreDNS、Helm、SPIFFE/SPIRE 等。它还与 Gatekeeper 集成,为准入策略执行和审核提供 Kubernetes 原生体验。
CNCF CTO Chris Aniszczyk 表示:“随着云原生生态系统的增长,对组织来说,拥有为现代云原生部署而构建的策略执行工具非常重要。自从加入 CNCF 以来,OPA 通过 Gatekeeper 项目与 Kubernetes 进行了紧密的整合,同时也支持 Kubernetes 之外的各种用例。”
Atlassian PaaS 首席工程师 Chris Stivers 表示:“可扩展性对我们来说真的很重要,因为我们从一开始就知道,要把 OPA 作为一个更大的生态系统的一部分,内置到其他代码中。社区、整合和表现更让我们确信,OPA 将满足我们在 Atlassian 的需求。”
从孵化状态正式走向毕业,OPA 获得了CII最佳实践徽章,通过两次外部安全审计,完成 SIG-Security 评估过程,并定义了安全漏洞披露流程和安全响应团队,严格遵循 CNCF 行为准则。
关于 OPA
Open Policy Agent(OPA), 为策略决策需求提供了一个统一的框架与服务。它将策略决策从软件业务逻辑中解耦剥离,将策略定义、决策过程抽象为通用模型,实现为一个通用策略引擎,可适用于广泛的业务场景,比如:
-
判断某用户可以访问哪些资源
-
允许哪些子网对外访问
-
工作负载应该部署在哪个集群
-
容器能执行哪些操作系统功能
- 系统能在什么时间被访问
需要注意的是,OPA 本身是将策略决策和策略施行解耦,OPA 负责相应策略规则的评估,即决策过程,业务应用服务需要根据相应的策略评估结果执行后续操作,策略的施行是业务强相关,仍旧由业务应用来实现。