16、集群策略与治理及多集群管理

集群策略与治理及多集群管理

1. 集群策略与治理的重要性

在Kubernetes集群的运行过程中，我们常常会面临一些需求，比如确保所有运行的容器都来自经过批准的容器注册表，或者保证服务不会暴露到互联网上。随着Kubernetes的不断成熟和企业采用率的提高，策略和治理的问题变得越来越频繁。

策略和治理之所以重要，是因为无论是在高度监管的环境（如医疗保健或金融服务），还是仅仅为了对集群上运行的内容保持一定的控制，我们都需要一种方法来实施企业规定的策略。这些策略可能是为了满足监管合规性，或者只是为了执行最佳实践。但在实施这些策略时，我们必须确保不牺牲开发人员的敏捷性和自助服务能力。

2. 策略的不同之处

在Kubernetes中，策略无处不在，如网络策略和Pod安全策略。我们通常理解这些策略的含义和使用场景，并相信Kubernetes资源规范中声明的内容会按照策略定义来实施。这些策略通常在运行时实施。

而策略和治理的工作则是管理Kubernetes资源规范中实际定义的内容。在治理的背景下，我们所说的策略是指定义控制Kubernetes资源规范中字段和值的策略。只有符合这些策略的Kubernetes资源规范才被允许并提交到集群状态中。

3. 云原生策略引擎

为了能够决定哪些资源是合规的，我们需要一个足够灵活的策略引擎来满足各种需求。Open Policy Agent (OPA) 是一个开源、灵活、轻量级的策略引擎，在云原生生态系统中越来越受欢迎。OPA的存在使得许多不同的Kubernetes治理工具得以实现。

社区中围绕的一个Kubernetes策略和治理项目叫做Gatekeep