MaaS OPA Charts 镜像文档

1. 镜像概述和主要用途

MaaS OPA Charts镜像集成Open Policy Agent (OPA) 与Helm Charts，提供策略即服务（Policy as a Service）能力。该镜像简化Kubernetes环境中OPA策略的部署与管理流程，支持策略的版本控制、分发及强制执行，帮助用户实现统一的策略治理与合规检查。

2. 核心功能和特性

• OPA原生集成：内置Open Policy Agent引擎，支持Rego策略语言，实现灵活的策略定义与实时评估
• Helm Charts支持：提供预配置Helm Charts，支持一键部署至Kubernetes集群，简化规模化部署
• 策略生命周期管理：支持策略的创建、版本控制、分发与退役，提供完整的策略迭代流程
• 多维度合规检查：内置基础合规规则模板，支持自定义检查项，覆盖资源访问控制、配置合规等场景
• 跨环境适配：兼容Kubernetes 1.19+版本，支持开发、测试、生产环境的策略隔离与差异化配置

3. 使用场景

• Kubernetes资源控制：管控Pod部署、服务访问、资源分配等Kubernetes资源操作，防止不合规配置
• 企业合规审计：满足PCI-DSS、GDPR等合规要求，定期执行策略检查并生成审计报告
• CI/CD流水线集成：在应用部署前执行策略验证，拦截不合规部署，保障交付安全
• 多租户策略隔离：支持按团队、项目或环境隔离策略，实现多租户场景下的精细化策略管理

4. 使用方法和配置说明

4.1 基础部署（Docker Run）

docker run -d \
  --name maas-opa-charts \
  -p 8181:8181 \
  -v /local/policies:/policies \
  -e OPA_LOG_LEVEL=info \
  -e POLICIES_DIR=/policies \
  -e KUBECONFIG=/etc/kubeconfig \
  -v /path/to/kubeconfig:/etc/kubeconfig \
  maas-opa-charts:latest

4.2 Kubernetes部署（Helm Charts）

# 添加Helm仓库
helm repo add maas-opa [***]
helm repo update

# 安装Chart（指定命名空间与配置）
helm install maas-opa maas-opa/maas-opa-charts \
  --namespace opa-system --create-namespace \
  --set opa.logLevel=info \
  --set persistence.enabled=true \
  --set persistence.size=10Gi \
  --set service.type=ClusterIP

4.3 环境变量配置

4.4 策略定义示例

在POLICIES_DIR目录下创建Rego策略文件（如pod-security.rego）：

package kubernetes.podsecurity

# 仅允许非root用户运行Pod
default allow = false

allow {
  input.request.kind.kind == "Pod"
  input.request.object.spec.securityContext.runAsNonRoot == true
  input.request.object.spec.securityContext.runAsUser > 1000
}

5. 注意事项

• 集群兼容性：需Kubernetes集群版本≥1.19，Helm版本≥3.5.0
• 策略文件要求：需使用Rego语言编写，文件扩展名为.rego，放置于POLICIES_DIR目录
• 资源需求：建议配置至少1CPU核心、2GB内存，策略数量超过100条时需适当提升资源配置
• 数据持久化：生产环境建议启用持久化存储，避免策略文件丢失