Open Policy Agent Gatekeeper 深度解析：Constraint Templates 约束模板详解-优快云博客

本文链接：https://blog.youkuaiyun.com/gitblog_00558/article/details/148552145

Open Policy Agent Gatekeeper 深度解析：Constraint Templates 约束模板详解

gatekeeper 🐊 Gatekeeper - Policy Controller for Kubernetes 项目地址: https://gitcode.com/gh_mirrors/gat/gatekeeper

什么是 Constraint Templates

在 Open Policy Agent (OPA) Gatekeeper 项目中，Constraint Templates（约束模板）是定义 Kubernetes 对象验证规则的核心组件。它们为集群管理员提供了一种声明式的方法来实施策略，确保所有 Kubernetes 资源都符合组织制定的规范和要求。

Constraint Templates 由两个关键部分组成：

Rego 策略代码：使用 Rego 语言编写的策略逻辑，定义了什么样的资源状态会被视为违规
约束模式（Schema）：描述了与模板关联的 Constraint 对象的结构，用于参数化策略的具体应用

Constraint Templates 版本演进

v1beta1 与 v1 版本对比

在 Gatekeeper 3.6.0 版本中引入了 v1 版本的 ConstraintTemplate，与之前的 v1beta1 版本相比，最重要的变化是要求约束模式必须是"结构化模式"（Structural Schema）。

结构化模式是 Kubernetes 对自定义资源定义（CRD）的要求，它带来以下优势：

明确的类型定义：必须在每个层级指定 type 字段
更好的验证：API 服务器会在创建时验证约束参数的结构
更清晰的文档：模式定义更加明确和自描述

结构化模式示例

让我们通过一个实际例子来理解结构化模式的要求。以下是 k8srequiredlabels 约束模板在 v1beta1 版本中的定义：

apiVersion: templates.gatekeeper.sh/v1beta1
kind: ConstraintTemplate
metadata:
  name: k8srequiredlabels
spec:
  crd:
    spec:
      names:
        kind: K8sRequiredLabels
      validation:
        openAPIV3Schema:
          properties:
            labels:
              type: array
              items:
                type: string

在这个例子中，openAPIV3Schema 缺少了 type: object 声明，这在 v1 版本中是不允许的。正确的结构化模式应该如下：

openAPIV3Schema:
  type: object  # 必须明确指定类型
  properties:
    labels:
      type: array
      items:
        type: string

为什么需要结构化模式

结构化模式带来的主要改进包括：

早期错误检测：API 服务器会在创建约束时就验证参数结构，而不是等到实际使用时才发现问题
更好的用户体验：开发者能立即知道参数定义是否正确，而不是困惑为什么约束没有生效
与 Kubernetes 生态对齐：遵循 Kubernetes 对 CRD 的最佳实践要求

实际案例对比

考虑以下错误的约束定义，其中 labels 被错误地放在了数组中：

parameters:
  - labels: ["gatekeeper"]  # 错误的参数结构

在 v1beta1 版本中，这个约束会被接受但不会生效，导致命名空间创建时不会被检查标签。而在 v1 版本中，API 服务器会直接拒绝这个约束：

The K8sRequiredLabels "ns-must-have-gk" is invalid: 
spec.parameters: Invalid value: "array": 
spec.parameters in body must be of type object: "array"