应用 OPA Gatekeeper 策略

MongoDB Enterprise Kubernetes Operator 已弃用。新的 MongoDB Controllers for Kubernetes Operator 取代了MongoDB Enterprise Kubernetes Operator。第一个版本的 Controllers for Kubernetes Operator 在功能上等同于 v1.33 的Enterprise Kubernetes Operator。有关此更改的更多信息以及迁移到新 Operator 的指导，请参阅第一个新版本的发布说明。MongoDB Enterprise Kubernetes Operator 的未来版本将不会再发布。根据现有的一年支持政策，每个版本都将结束生命周期。请迁移到Kubernetes Operator 的控制器以获得持续支持。

要控制、Atlas 审核和调试生产部署，可以使用 Gatekeeper 开放策略代理 (OPA) 的策略。 Gatekeeper 包含 CustomResourceDefinitions，用于通过约束模板创建和扩展部署约束。

使用 Gatekeeper 策略控制部署

Kubernetes Operator 提供了Gatekeeper 策略列表，您可以自定义这些策略并将其应用到您的部署中。

每个 Gatekeeper 策略包括：

<policy_name>.yaml 文件
constraints.yaml 基于约束模板的文件

您可以使用二进制和可配置的 Gatekeeper 策略：

二进制策略允许或阻止特定配置，例如阻止不使用 TLS 的部署，或仅部署特定的 MongoDB 或 Ops Manager 版本。
可配置策略允许您指定配置，例如为特定 MongoDB 或 Ops Manager 自定义资源部署的副本集总数。

要通过 Kubernetes 操作符使用和应用 Gatekeeper 样本策略：

在Kubernetes集群上安装 OPA Gatekeeper。
查看可用约束模板和约束的列表：
```
kubectl get constrainttemplates
kubectl get constraints
```
导航到策略目录，从列表中选择策略并应用它及其约束文件：
```
cd <policy_directory>
kubectl apply -f <policy_name>.yaml
kubectl apply -f constraints.yaml
```
查看当前应用的 Gatekeeper 策略：
```
kubectl get constrainttemplates
kubectl get contstraints
```

OPA Gatekeeper 策略示例列表

Kubernetes Operator 在此 OPA 示例 GitHub目录中提供了以下示例策略：

地点	策略说明
调试	阻止所有MongoDB和Ops Manager资源。这允许您使用日志输出来制定自己的策略。要学习；了解更多信息，请参阅 Gatekeeper 调试。
mongodb_allow_replicaset	仅允许部署 MongoDB 资源的副本集并阻止部署分片集群。
mongodb_allowed_versions	仅允许部署特定的 MongoDB 版本。
ops_manager_allowed_versions	仅允许部署特定 Ops Manager 版本。
mongodb_strict_tls	允许对 MongoDB 部署使用严格的 TLS 模式。
ops_manager_replica_members	允许部署指定数量的 Ops Manager 副本集和应用程序数据库成员。
ops_manager_wizardless	允许以非交互模式安装 Ops Manager。

后退

验证签名

来年

配置加密