Open Policy Agent Gatekeeper 安装与卸载完全指南

Open Policy Agent Gatekeeper 安装与卸载完全指南

gatekeeper 🐊 Gatekeeper - Policy Controller for Kubernetes 项目地址: https://gitcode.com/gh_mirrors/gat/gatekeeper

前言

Open Policy Agent (OPA) Gatekeeper 是 Kubernetes 生态中重要的策略管理工具，它基于 OPA 引擎实现，通过自定义资源定义(CRD)的方式为集群提供强大的策略即代码能力。本文将详细介绍 Gatekeeper 的安装与卸载过程，帮助您快速在 Kubernetes 环境中部署这一关键组件。

系统要求

Kubernetes 版本兼容性

Gatekeeper 对 Kubernetes 版本的要求与 Kubernetes 官方支持的版本策略保持一致。特别需要注意的是：

• 最低要求 Kubernetes 1.16 或更高版本
• 必须支持 Kubernetes 1.16 引入的资源类型
• 建议使用当前 Kubernetes 官方支持的稳定版本

权限要求

安装 Gatekeeper 需要集群管理员权限，执行以下命令获取必要权限：

kubectl create clusterrolebinding cluster-admin-binding \
  --clusterrole cluster-admin \
  --user <您的用户名>

安装方法详解

方法一：使用预构建镜像安装（推荐）

这是最简单的安装方式，适合大多数生产环境：

kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/v3.11.1/deploy/gatekeeper.yaml

特点：

• 使用官方稳定版本镜像
• 一键式部署，无需额外配置
• 适合快速验证和标准部署场景

方法二：使用开发版本镜像

如需使用最新的开发版本，可以使用以下镜像标签：

• openpolicyagent/gatekeeper:dev - 最新开发版本
• openpolicyagent/gatekeeper:<SHA> - 特定提交版本

适用场景：

• 需要测试最新功能
• 问题排查需要特定修复版本
• 开发环境验证

方法三：从源码构建安装

对于需要自定义构建的高级用户，可按以下步骤操作：

1. 准备环境

   • Docker 19.03+
   • 安装 Kubebuilder 和 Kustomize
   • 配置正确的 kubectl 上下文
   • 准备可写入的容器镜像仓库

2. 获取源码

   git clone https://github.com/open-policy-agent/gatekeeper.git
   cd gatekeeper
   

3. 设置镜像位置

   export DESTINATION_GATEKEEPER_IMAGE=<您的目标镜像仓库地址>
   

4. 构建并推送镜像

   make docker-buildx REPOSITORY="$DESTINATION_GATEKEEPER_IMAGE"
   make docker-push REPOSITORY="$DESTINATION_GATEKEEPER_IMAGE"
   

5. 部署到集群

   make deploy REPOSITORY="$DESTINATION_GATEKEEPER_IMAGE"
   

优势：

• 完全控制构建过程
• 可进行深度定制
• 适合内部镜像仓库场景

方法四：使用 Helm 安装

Gatekeeper 提供了 Helm chart 支持，安装步骤如下：

1. 添加 Helm 仓库

   helm repo add gatekeeper https://open-policy-agent.github.io/gatekeeper/charts
   

2. 安装 Gatekeeper

   helm install gatekeeper/gatekeeper --name-template=gatekeeper --namespace gatekeeper-system --create-namespace
   

注意事项：

• 仅 Gatekeeper v3.1.1+ 支持 Helm v3
• 可使用 values.yaml 文件自定义配置
• 生成模板前需运行 make manifests

卸载指南

预构建镜像方式卸载

kubectl delete -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/v3.11.1/deploy/gatekeeper.yaml

源码构建方式卸载

make uninstall

Helm 方式卸载

1. 删除 Helm 发布

   helm delete gatekeeper --namespace gatekeeper-system
   

2. 清理 CRD（Helm v3 不会自动清理）

   kubectl delete crd -l gatekeeper.sh/system=yes
   

重要提示： 卸载操作会删除所有 Gatekeeper 相关资源，包括用户配置、约束模板和约束策略，请谨慎操作。

安装后验证

安装完成后，可通过以下命令验证组件状态：

kubectl -n gatekeeper-system get all

检查 Pod 是否全部处于 Running 状态，确保 Gatekeeper 已成功部署。

总结

本文详细介绍了 Open Policy Agent Gatekeeper 的多种安装方式，从最简单的预构建镜像到完全自定义的源码构建，以及 Helm 部署方案。根据您的具体需求选择最适合的安装方法，并注意相应的卸载步骤，确保集群资源得到妥善管理。Gatekeeper 作为 Kubernetes 策略管理的强大工具，正确安装是发挥其功能的第一步。

gatekeeper 🐊 Gatekeeper - Policy Controller for Kubernetes 项目地址: https://gitcode.com/gh_mirrors/gat/gatekeeper