weaveworks/policy-agent Docker Image Overview

weaveworks/policy-agent

weaveworks

Weaveworks策略代理，通过执行Rego策略控制资源准入流程，拦截违规资源进入系统，保障集群资源符合预设安全与合规策略。

下载次数: 0状态：社区镜像维护者：weaveworks仓库类型：镜像最近更新：2 年前

轩辕镜像，快一点，稳很多。点击查看

中文简介版本下载

轩辕镜像，快一点，稳很多。点击查看

Weaveworks Policy Agent 镜像文档

镜像概述

Weaveworks Policy Agent 是一款由Weaveworks开发的策略执行工具，主要用于在容器编排环境（如Kubernetes）中通过执行Rego策略（Open Policy Agent的策略语言）控制资源准入流程。该工具通过拦截并检查资源创建/更新请求，确保只有符合策略的资源能够进入集群，从而提升系统安全性与合规性。

核心功能与特性

核心功能

Rego策略执行：原生支持Rego策略语言，可灵活定义资源检查规则
资源准入控制：集成准入控制器机制，在资源创建/更新阶段实时执行策略检查
违规拦截：对违反策略的资源请求进行阻断，防止不合规资源进入系统
策略热更新：支持策略文件动态加载，无需重启代理即可应用新策略

关键特性

轻量级部署：容器化设计，资源占用低，适合各类规模集群
审计支持：可记录策略检查结果，支持合规审计与问题追溯
多环境兼容：适配Kubernetes及其他支持准入控制的容器平台
可扩展架构：支持自定义策略扩展与第三方系统集成（如日志、监控平台）

使用场景与适用范围

典型使用场景

Kubernetes集群安全加固：强制执行最小权限原则、镜像来源验证、资源配额限制等安全策略
合规性管理：满足行业合规标准（如PCI-DSS、GDPR）对资源配置的强制要求
资源访问控制：限制敏感资源（如Secret、ConfigMap）的创建权限与访问范围
DevSecOps集成：在CI/CD流水线末端添加策略检查环节，实现"左移安全"

适用环境

Kubernetes集群（v1.16+）
需执行细粒度资源控制的生产环境
对合规性与安全性有严格要求的企业级应用

使用方法与配置说明

部署前提

容器运行时环境（Docker/containerd）
Kubernetes集群（推荐，需配置准入控制器）
策略文件目录（存放Rego策略文件）

Docker快速启动

bash
docker run -d \
  --name weave-policy-agent \
  -v /local/policy/dir:/policies \  # 挂载本地策略目录
  -e POLICY_DIR=/policies \          # 指定容器内策略目录
  -e LOG_LEVEL=info \                # 设置日志级别
  -e KUBE_API_URL=[***] \  # Kubernetes API地址
  -p 8080:8080 \                     # 暴露策略检查API端口
  weaveworks/policy-agent:latest

Kubernetes部署（推荐）

1. 准备策略配置

创建包含Rego策略的ConfigMap：

yaml
apiVersion: v1
kind: ConfigMap
metadata:
  name: rego-policies
  namespace: weave-system
data:
  allow-only-approved-images.rego: |
    package kubernetes.admission

    default allow = false

    allow {
      input.request.kind.kind == "Pod"
      [_, image] := split(input.request.object.spec.containers[0].image, ":")
      image == "approved-registry.example.com/app"
    }

2. 部署代理

yaml
apiVersion: apps/v1
kind: Deployment
metadata:
  name: weave-policy-agent
  namespace: weave-system
spec:
  replicas: 1
  selector:
    matchLabels:
      app: policy-agent
  template:
    metadata:
      labels:
        app: policy-agent
    spec:
      containers:
      - name: policy-agent
        image: weaveworks/policy-agent:latest
        volumeMounts:
        - name: policy-volume
          mountPath: /policies
        env:
        - name: POLICY_DIR
          value: "/policies"
        - name: LOG_LEVEL
          value: "info"
        - name: SERVER_PORT
          value: "8080"
        ports:
        - containerPort: 8080
      volumes:
      - name: policy-volume
        configMap:
          name: rego-policies

3. 配置准入控制器

通过Kubernetes Admission Webhook将策略检查集成到资源准入流程：

yaml
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingWebhookConfiguration
metadata:
  name: weave-policy-agent-webhook
webhooks:
- name: policy-agent.weaveworks.com
  clientConfig:
    service:
      name: policy-agent-service
      namespace: weave-system
      path: /validate
    caBundle: <CA_BUNDLE>  # 替换为实际CA证书
  rules:
  - apiGroups: [""]
    apiVersions: ["v1"]
    resources: ["pods"]
    operations: ["CREATE", "UPDATE"]
    scope: "Namespaced"
  admissionReviewVersions: ["v1"]
  sideEffects: None
  timeoutSeconds: 5

核心配置参数

参数名	环境变量名	描述	默认值
策略文件目录	`POLICY_DIR`	容器内Rego策略文件存放路径	`/policies`
日志级别	`LOG_LEVEL`	日志输出级别（debug/info/warn/error）	`info`
服务端口	`SERVER_PORT`	策略检查API服务端口	`8080`
Kubernetes API地址	`KUBE_API_URL`	集群API服务器地址	`[***]`
审计日志路径	`AUDIT_LOG_PATH`	策略检查审计日志存放路径	`/var/log/weave/policy-agent.log`
TLS证书路径	`TLS_CERT_PATH`	服务端TLS证书路径	`/etc/tls/cert.pem`
TLS私钥路径	`TLS_KEY_PATH`	服务端TLS私钥路径	`/etc/tls/key.pem`