开放策略代理 (OPA)

技术雷达

更新于 : Apr 03, 2024

不在本期内容中

这一条目不在当前版本的技术雷达中。如果它出现在最近几期中，那么它很有可能仍然具有相关参考价值。如果这一条目出现在更早的雷达中，那么它很有可能已经不再具有相关性，我们的评估将不再适用于当下。很遗憾我们没有足够的带宽来持续评估以往的雷达内容。了解更多

Apr 2024

试验

是一个统一的框架和，用于声明、执行和控制策略。在我们团队，它已经成为定义分布式系统策略的一种常用方式，尤其是在我们需要实施时。OPA 使团队能够实现各种平台工程模式，例如控制部署到 Kubernetes 集群的内容、在服务网格中跨服务强制访问控制以及实现细粒度的访问应用程序资源的安全策略即代码。虽然 OPA 实现存在一定复杂性，但事实证明它是一种确保 DevOps 文化下的的非常有价值的工具。我们还将继续关注 OPA 在运营系统之外扩展到大数据解决方案的成熟度。

May 2020

试验

在我们为客户构建的许多分布式云原生解决方案中，已经迅速地展现了它的价值。OPA 提供了一套统一的框架和，用于声明，实施和控制云原生解决方案中各个组件的策略。它是实现安全策略即代码的工具中的一个很好的例子。无论是在K8s 集群中部署资源，还是在服务网格中跨服务执行访问控制，抑或是通过代码精准地控制应用资源访问，在很多场景中 OPA 都给我们提供了非常顺畅的体验。最近的一个商业产物（Styra's Declarative Authorization Service (DAS)），通过向 K8s 的 OPA 中添加管理工具（或者说控制平面），预先构建的策略库，策略影响分析和日志记录等功能，使公司采用 OPA 变得更加简单。我们期待 OPA 的成熟和扩展，希望它可以从一个可用的服务演变成一个（大型的）以数据为中心的解决方案。

Nov 2019

评估

横跨多个技术领域统一定义和实施安全策略很有挑战。即使对于简单的应用程序，也必须使用其组件内置的安全策略配置和实施机制，来控制对容器编排器、保存服务状态的服务及数据存储等组件的访问。

我们对这个尝试解决此问题的开源技术感到非常兴奋。翱笔础可以使用策略定义语言，以代码的方式进行细粒度的访问控制与灵活的策略定义。搁别驳辞在应用程序代码之外，以分布式且不干扰用户的方式实施策略。在撰写本文时，翱笔础以统一而灵活的策略定义及执行实现，确保了通过边车和Kafka访问Kubernetes API和微服务API的安全性。它也可以用作任何服务的边车，用以验证访问策略或过滤响应数据。OPA背后的公司针对分布式策略的集中可见性提供提供商业化的解决方案。我们希望翱笔础可以通过成熟起来，并继续为多样化的数据存储等更具挑战性的策略执行场景提供支持。

发布于 : Nov 20, 2019