Open Policy Agent Gatekeeper 安装与卸载完全指南

Open Policy Agent Gatekeeper 安装与卸载完全指南

gatekeeper 🐊 Gatekeeper - Policy Controller for Kubernetes 项目地址: https://gitcode.com/gh_mirrors/gat/gatekeeper

前言

Open Policy Agent Gatekeeper 是 Kubernetes 生态中重要的策略管理工具，它通过自定义资源定义(CRD)和准入控制器来实现对集群资源的策略管控。本文将详细介绍 Gatekeeper 的安装与卸载方法，帮助您快速在 Kubernetes 环境中部署这一关键组件。

安装前准备

Kubernetes 版本要求

Gatekeeper 对 Kubernetes 版本的要求与官方支持的 Kubernetes 版本策略保持一致。特别需要注意的是：

• 最低要求 Kubernetes 1.16 及以上版本
• 建议使用当前 Kubernetes 官方支持的稳定版本
• 生产环境应避免使用即将结束维护周期的 Kubernetes 版本

权限配置

安装 Gatekeeper 需要集群管理员权限，执行以下命令配置权限：

kubectl create clusterrolebinding cluster-admin-binding \
  --clusterrole cluster-admin \
  --user <您的用户名>

安装方法详解

1. 使用预构建镜像安装（推荐）

这是最简单快捷的安装方式，适合大多数用户：

kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/v3.13.4/deploy/gatekeeper.yaml

特点：

• 使用官方稳定版本镜像
• 一键式部署所有必要组件
• 适合生产环境使用

2. 使用开发镜像安装

如需测试最新开发版本，可以使用开发镜像：

kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/master/deploy/gatekeeper.yaml

注意：

• 开发版本可能包含未经验证的功能
• 不建议在生产环境使用
• 镜像标签可使用 openpolicyagent/gatekeeper:dev 或特定提交的 SHA

3. 从源码构建安装

适用于需要自定义构建的场景：

1. 确保已安装 Docker 20.10+
2. 设置正确的 kubectl 上下文
3. 准备可写入的容器镜像仓库

构建并部署步骤：

git clone <gatekeeper仓库地址>
cd gatekeeper
export DESTINATION_GATEKEEPER_IMAGE=myregistry.docker.io/gatekeeper
make docker-buildx REPOSITORY=$DESTINATION_GATEKEEPER_IMAGE OUTPUT_TYPE=type=registry
make deploy REPOSITORY=$DESTINATION_GATEKEEPER_IMAGE

4. 使用 Helm 安装

Gatekeeper 提供了 Helm Chart 支持：

helm repo add gatekeeper <chart仓库地址>
helm install gatekeeper/gatekeeper --name-template=gatekeeper \
  --namespace gatekeeper-system \
  --create-namespace

Helm 安装特点：

• 支持自定义配置
• 便于版本管理
• 可结合 CI/CD 流程

卸载方法

1. 预构建镜像方式卸载

kubectl delete -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/v3.13.4/deploy/gatekeeper.yaml

2. make 方式卸载

cd gatekeeper
make uninstall

3. Helm 方式卸载

helm delete gatekeeper --namespace gatekeeper-system
kubectl delete crd -l gatekeeper.sh/system=yes

注意：Helm 卸载后需要手动删除 CRD，这也会清除所有策略配置。

安装后验证

安装完成后，可通过以下命令验证：

kubectl -n gatekeeper-system get pods

正常情况应看到 gatekeeper-controller-manager pod 处于 Running 状态。

常见问题

1. 权限不足：确保使用 cluster-admin 权限操作
2. 版本兼容性：检查 Kubernetes 版本是否符合要求
3. 镜像拉取失败：确认集群有权限访问镜像仓库
4. 资源冲突：确保没有同名资源存在

最佳实践

1. 生产环境使用稳定版本
2. 通过 GitOps 方式管理部署
3. 定期升级到新版本
4. 测试环境验证后再上生产

通过本文介绍的多种安装方式，您可以根据实际需求选择最适合的方法在 Kubernetes 集群中部署 Gatekeeper，为集群提供强大的策略管理能力。

gatekeeper 🐊 Gatekeeper - Policy Controller for Kubernetes 项目地址: https://gitcode.com/gh_mirrors/gat/gatekeeper