Open Policy Agent

• Open Policy Agent（简称OPA）是一款go语言编写的开源通用策略引擎，它通过高级声明式语言rego编写策略代码为应用程序实现细粒度的访问控制机制，可用于为微服务、Kubernetes、CI/CD pipeline和API Gateway等应用场景实施策略机制；

• OPA可以同微服务一起部署为独立运行的服务，例如以sidecar形式运行；

  • 通常，出于保护应用程序的目的，发往微服务的每个请求都需要获得授权后才能进行处理

  • 而为了检查授权，微服务则需要对OPA服务发出API调用，以确定收到的请求是否被授权；但策略的执行需要由应用程序完成，例如某HTTP请求被策略拒绝时，应用程序需要响应以“HTTP 403 Forbidden”；

OPA决策机制

• 在OPA中，决策过程依赖于三个输入

  • Query：查询输入，它会触发决策过程；

    • 查询数据指定了OPA应该决策的事情，它必须格式化为JSON格式；

    • 例如，对于“是否允许用户Alice调用“GET /resrources”这个问题，查询输入包含了Alice、GET和/resources三个参数；

  • Data：OPA进行决策时需要参考的适配于特定环境的事实定义；

    • 例如，需要决策将Pod调度至哪个Kubernetes集群节点，数据应该是可用节点及相应容量的列表；
    • Data同样必须以JSON格式提供，且可能会随时间而变化，OPA会将其最新状态缓存在内存中；
  • Policy：指定了决策计算逻辑，对于给定的Data和Query，该计算逻辑会产生策略决定，即查询结果；但OPA只是策略引擎，策略需要由用户自己定义；
• 策略引擎负责解释Policy中包含的规则，并基于Data和Query做出策略决策，并将决策结果格式化为JSON格式进行输出；

Envoy ext_authz OPA配置示例

参考文档

https://www.openpolicyagent.org/docs/latest/