Open Policy Agent(OPA) 【1】介绍(2)

简介: Open Policy Agent(OPA) 【1】介绍(2)

6. OPA run(互动式)

OPA包括一个交互式外壳程序或REPL(读取-评估-打印循环)。您可以使用REPL来试验策略并为新策略创建原型。

要启动REPL,只需:

./opa run

当您在REPL中输入语句时,OPA会对它们进行评估并打印结果。

> true
true
> 3.14
3.14
> ["hello", "world"]
[
  "hello",
  "world"
]

大多数REPL允许您定义以后可以引用的变量。OPA允许您执行类似的操作。例如,您可以定义一个pi常量,如下所示:

> pi := 3.14

定义“ pi”后,您将查询该值并根据该值编写表达式:

> pi
3.14
> pi > 3
true

通过按Control-D或键入exit以下命令退出REPL :

> exit

您可以通过在命令行上传递策略和数据文件来将它们加载到REPL中。默认情况下,JSON和YAML文件植于下data。

opa run input.json

运行一些查询以查找数据:

> data.server[0].protocols[1]
undefined
> data.servers[0].protocols[1]
"ssh"
> data.servers[i].protocols[j]
+---+---+------------------------------+
| i | j | data.servers[i].protocols[j] |
+---+---+------------------------------+
| 0 | 0 | "https"                      |
| 0 | 1 | "ssh"                        |
| 1 | 0 | "mysql"                      |
| 2 | 0 | "memcache"                   |
| 3 | 0 | "http"                       |
| 4 | 0 | "telnet"                     |
+---+---+------------------------------+
> net := data.networks[_]; net.public
+-----------------------------+
|             net             |
+-----------------------------+
| {"id":"net3","public":true} |
| {"id":"net4","public":true} |
+-----------------------------+

要将数据文件设置为inputREPL中的文档,请在文件路径前添加前缀:

opa run example.rego repl.input:input.json
> data.example.public_server[s]
+-------------------------------------------------------------------+-------------------------------------------------------------------+
|                                 s                                 |                   data.example.public_server[s]                   |
+-------------------------------------------------------------------+-------------------------------------------------------------------+
| {"id":"app","ports":["p1","p2","p3"],"protocols":["https","ssh"]} | {"id":"app","ports":["p1","p2","p3"],"protocols":["https","ssh"]} |
| {"id":"ci","ports":["p1","p2"],"protocols":["http"]}              | {"id":"ci","ports":["p1","p2"],"protocols":["http"]}              |
+-------------------------------------------------------------------+-------------------------------------------------------------------+

7. OPA run(服务器)

要与OPA集成,您可以将其作为服务器运行并通过HTTP执行查询。您可以使用-s或将OPA作为服务器启动--server

./opa run --server ./example.rego

默认情况下,OPA在上侦听HTTP连接0.0.0.0:8181。请参阅参考资料opa run --help,以获取用于更改侦听地址,启用TLS等的选项的列表。


在另一个终端内部使用curl(或类似的工具)来访问OPA的HTTP API。查询/v1/dataHTTP API时,必须将输入数据包装在JSON对象内:

{
    "input": <value>
}

创建输入文件的副本,以通过发送curl:

cat <<EOF > v1-data-input.json
{
    "input": $(cat input.json)
}
EOF

执行一些curl请求并检查输出:

curl localhost:8181/v1/data/example/violation -d @v1-data-input.json -H 'Content-Type: application/json'
curl localhost:8181/v1/data/example/allow -d @v1-data-input.json -H 'Content-Type: application/json'

默认情况下data.system.main,用于不带路径的策略查询。当您在不提供路径的情况下执行查询时,不必包装输入。如果该data.system.main决定未定义,则将其视为错误:

curl localhost:8181 -i -d @input.json -H 'Content-Type: application/json'

您可以重新启动OPA并将其配置为使用任何决策作为默认决策:

./opa run --server --set=default_decision=example/allow ./example.rego

curl从上面重新运行最后一个命令:

curl localhost:8181 -i -d @input.json -H 'Content-Type: application/json'

8. Rego 语法

OPA策略以称为Rego的高级声明性语言表示。Rego(发音为“ ray-go”)是专门为在复杂的分层数据结构上表达策略而构建的。有关Rego的详细信息,请参阅策略语言文档。


below以下示例是交互式的!如果在包含服务器,网络和端口的上方编辑输入数据,则输出将在下面更改。同样,如果您在下面的示例中编辑查询或规则,则输出将更改。在通读本节时,请尝试更改输入,查询和规则,并观察输出的差异。


也可以使用以下命令在您的计算机上本地运行它们opa eval,这是设置说明。

8.1 参考

当OPA评估策略时,它将查询中提供的数据绑定到名为的全局变量input。您可以使用.(点)运算符在输入中引用数据。

input.servers
[
  {
    "id": "app",
    "ports": [
      "p1",
      "p2",
      "p3"
    ],
    "protocols": [
      "https",
      "ssh"
    ]
  },
  {
    "id": "db",
    "ports": [
      "p3"
    ],
    "protocols": [
      "mysql"
    ]
  },
  {
    "id": "cache",
    "ports": [
      "p3"
    ],
    "protocols": [
      "memcache"
    ]
  },
  {
    "id": "ci",
    "ports": [
      "p1",
      "p2"
    ],
    "protocols": [
      "http"
    ]
  },
  {
    "id": "busybox",
    "ports": [
      "p1"
    ],
    "protocols": [
      "telnet"
    ]
  }
]

要引用数组元素,可以使用熟悉的方括号语法:

input.servers[0].protocols[0]
"https"

如果引用的值不存在,则OPA返回undefined。未定义表示OPA无法找到任何结果。

input.deadbeef
undefined decision

8.2 表达式(逻辑与)

要在Rego中制定政策决策,您要针对输入和其他数据编写表达式。

input.servers[0].id == "app"
true

OPA包括一组内置函数,可用于执行常见操作,例如字符串操作,正则表达式匹配,算术,聚合等。

count(input.servers[0].protocols) >= 1
true

有关现成的OPA支持的内置功能的完整列表,请参阅“策略参考”页面。

多个表达式通过;(AND)运算符连接在一起。为了使查询产生结果,查询中的所有表达式必须为真或已定义。表达式的顺序无关紧要。

input.servers[0].id == "app"; input.servers[0].protocols[0] == "https"
true

您可以;通过将表达式分成多行来省略(AND)运算符。以下查询与上一个查询具有相同的含义:

input.servers[0].id == "app"
input.servers[0].protocols[0] == "https"
true

如果查询中的任何表达式都不为真(或未定义),则结果为未定义。在下面的示例中,第二个表达式为false:

input.servers[0].id == "app"
input.servers[0].protocols[0] == "telnet"
undefined decision

8.3 逻辑或

在查询中将多个表达式连接在一起时,您表示的是逻辑与。要在Rego中表达逻辑OR,您可以定义多个具有相同名称的规则。让我们来看一个例子。


想象一下,您想知道是否有任何服务器公开允许客户端外壳访问的协议。为了确定这一点,你可以定义声明了一个完整的规则 shell_accessible是true,如果任何服务器暴露"telnet"或"ssh" 协议:

package example.logical_or
default shell_accessible = false
shell_accessible = true {
    input.servers[_].protocols[_] == "telnet"
}
shell_accessible = true {
    input.servers[_].protocols[_] == "ssh"
}
{
    "servers": [
        {
            "id": "busybox",
            "protocols": ["http", "telnet"]
        },
        {
            "id": "web",
            "protocols": ["https"]
        }
    ]
}
shell_accessible
true

defaultkeyword如果未定义具有相同名称的所有其他规则,则该关键字告诉OPA为该变量分配一个值。

当您将逻辑或与部分规则一起使用时,每个规则定义都会影响分配给变量的一组值。例如,可以将上面的示例修改为生成一组公开"telnet"或 的服务器"ssh"。

package example.logical_or
shell_accessible[server.id] {
    server := input.servers[_]
    server.protocols[_] == "telnet"
}
shell_accessible[server.id] {
    server := input.servers[_]
    server.protocols[_] == "ssh"
}
{
    "servers": [
        {
            "id": "busybox",
            "protocols": ["http", "telnet"]
        },
        {
            "id": "db",
            "protocols": ["mysql", "ssh"]
        },
        {
            "id": "web",
            "protocols": ["https"]
        }
    ]
}
shell_accessible
[
  "busybox",
  "db"
]

8.4 Variables变量

您可以使用:=(赋值)运算符将值存储在中间变量中。可以像一样引用变量input

s := input.servers[0]
s.id == "app"
p := s.protocols[0]
p == "https"
+---------+-------------------------------------------------------------------+
|    p    |                                 s                                 |
+---------+-------------------------------------------------------------------+
| "https" | {"id":"app","ports":["p1","p2","p3"],"protocols":["https","ssh"]} |
+---------+-------------------------------------------------------------------+

当OPA评估表达式时,它将查找使所有表达式都为真的变量的值。如果没有使所有表达式都为真的变量赋值,则结果是不确定的。

s := input.servers[0]
s.id == "app"
s.protocols[1] == "telnet"
undefined decision

变量是不可变的。如果您尝试两次分配相同的变量,OPA将报告错误。

s := input.servers[0]
s := input.servers[1]
1 error occurred: 2:1: rego_compile_error: var s assigned above

OPA必须能够枚举所有表达式中所有变量的值。如果OPA无法枚举任何表达式中变量的值,则OPA将报告错误。

x := 1
x != y  # y has not been assigned a value
2 errors occurred:
2:1: rego_unsafe_var_error: var _ is unsafe
2:1: rego_unsafe_var_error: var y is unsafe

8.5 迭代

像其他声明性语言(例如SQL)一样,Rego没有显式的循环或迭代构造。而是将变量注入表达式中时,隐式发生迭代。

要了解Rego中迭代的工作原理,请想象您需要检查是否有任何公共网络。回想一下,网络是在数组中提供的:

input.networks
[
  {
    "id": "net1",
    "public": false
  },
  {
    "id": "net2",
    "public": false
  },
  {
    "id": "net3",
    "public": true
  },
  {
    "id": "net4",
    "public": true
  }
]

一种选择是测试输入中的每个网络:

input.networks[0].public == true
false
input.networks[1].public == true
false
input.networks[2].public == true
true

这种方法是有问题的,因为可能有太多网络无法静态列出,或更重要的是,可能无法事先知道网络的数量。

在Rego中,解决方案是将数组索引替换为变量。

some i; input.networks[i].public == true
+---+
| i |
+---+
| 2 |
| 3 |
+---+

现在,查询将要求该值i使整个表达式为真。当您在引用中替换变量时,OPA会自动查找满足查询中所有表达式的变量分配。就像中间变量一样,OPA返回变量的值。

您可以根据需要替换任意多个变量。例如,要确定是否有服务器公开了不安全的"http"协议,您可以编写:

some i, j; input.servers[i].protocols[j] == "http"
+---+---+
| i | j |
+---+---+
| 3 | 0 |
+---+---+

如果变量出现多次,则分配满足所有表达式。例如,要查找连接到公共网络的端口的ID,可以编写:

some i, j
id := input.ports[i].id
input.ports[i].network == input.networks[j].id
input.networks[j].public
+---+------+---+
| i |  id  | j |
+---+------+---+
| 1 | "p2" | 2 |
+---+------+---+

为变量提供好名字可能很难。如果仅引用一次变量,则可以将其替换为特殊的_(通配符变量)运算符。从概念上讲,的每个实例_都是一个唯一变量。

input.servers[_].protocols[_] == "http"
true

就像引用不存在的字段或无法匹配的表达式的引用一样,如果OPA无法找到满足所有表达式的任何变量赋值,则结果是不确定的。

some i; input.servers[i].protocols[i] == "ssh"  # there is no assignment of i that satisfies the expression
undefined decision

8.6 规则

Rego使您可以使用规则封装和重用逻辑。规则只是if-then逻辑语句。规则可以是“完整”或“部分”。

8.6.1 完整规则

完整的规则是if-then语句,这些语句将单个值分配给变量。例如:

package example.rules
any_public_networks = true {  # is true if...
    net := input.networks[_]  # some network exists and..
    net.public                # it is public.
}

每条规则都由一个头和一个身体组成。在Rego中,如果规则主体对于某些变量分配集为true,则说规则标题为true 。在上面的示例any_public_networks = true中,头是net := input.networks[_]; net.public是身体。


您可以查询规则生成的值,就像其他任何值一样:

any_public_networks
true

规则生成的所有值都可以通过全局data变量查询。

data.example.rules.any_public_networks
true

您可以通过使用绝对路径引用OPA加载的任何规则来查询其值。规则的路径始终为:

data.<package-path>.<rule-name>

如果您省略= <value>规则标题的一部分,则该值默认为true。您可以按以下方式重写上面的示例,而无需更改其含义:

package example.rules
any_public_networks {
    net := input.networks[_]
    net.public
}

要定义常量,请省略规则主体。省略规则正文时,默认为true。由于规则主体为true,因此规则标头始终为true / defined

package example.constants
pi = 3.14

如果OPA无法找到满足规则主体的变量分配,则可以说该规则是未定义的。例如,如果input提供给OPA的不包括公共网络,any_public_networks则将是未定义的(与false相同)。下面,为OPA提供了一组不同的输入网络(都不是公共的):

{
    "networks": [
        {"id": "n1", "public": false},
        {"id": "n2", "public": false}
    ]
}
any_public_networks
undefined decision
相关文章
|
4月前
|
JSON 编译器 网络安全
open policy agent 语法总结
open policy agent 语法总结
57 1
|
JSON Kubernetes Cloud Native
Open Policy Agent(OPA) 【1】介绍(1)
Open Policy Agent(OPA) 【1】介绍(1)
Open Policy Agent(OPA) 【1】介绍(1)
|
Cloud Native
Open Policy Agent (OPA) 【3】实战
Open Policy Agent (OPA) 【3】实战
Open Policy Agent (OPA) 【3】实战
|
存储 JSON Kubernetes
Open Policy Agent(OPA) 【2】rego 语法
Open Policy Agent(OPA) 【2】rego 语法
|
缓存 Cloud Native Go
Open Policy Agent(OPA) 【1】介绍(3)
Open Policy Agent(OPA) 【1】介绍(3)
|
23小时前
|
机器学习/深度学习 人工智能 自然语言处理
Gemini 2.0:谷歌推出的原生多模态输入输出 + Agent 为核心的 AI 模型
谷歌最新推出的Gemini 2.0是一款原生多模态输入输出的AI模型,以Agent技术为核心,支持多种数据类型的输入与输出,具备强大的性能和多语言音频输出能力。本文将详细介绍Gemini 2.0的主要功能、技术原理及其在多个领域的应用场景。
41 20
Gemini 2.0:谷歌推出的原生多模态输入输出 + Agent 为核心的 AI 模型
|
2天前
|
人工智能 自然语言处理 前端开发
Director:构建视频智能体的 AI 框架,用自然语言执行搜索、编辑、合成和生成等复杂视频任务
Director 是一个构建视频智能体的 AI 框架,用户可以通过自然语言命令执行复杂的视频任务,如搜索、编辑、合成和生成视频内容。该框架基于 VideoDB 的“视频即数据”基础设施,集成了多个预构建的视频代理和 AI API,支持高度定制化,适用于开发者和创作者。
44 9
Director:构建视频智能体的 AI 框架,用自然语言执行搜索、编辑、合成和生成等复杂视频任务
|
23小时前
|
人工智能 API 语音技术
TEN Agent:开源的实时多模态 AI 代理框架,支持语音、文本和图像的实时通信交互
TEN Agent 是一个开源的实时多模态 AI 代理框架,集成了 OpenAI Realtime API 和 RTC 技术,支持语音、文本和图像的多模态交互,具备实时通信、模块化设计和多语言支持等功能,适用于智能客服、实时语音助手等多种场景。
33 15
TEN Agent:开源的实时多模态 AI 代理框架,支持语音、文本和图像的实时通信交互
|
10天前
|
人工智能 自然语言处理 JavaScript
Agent-E:基于 AutoGen 代理框架构建的 AI 浏览器自动化系统
Agent-E 是一个基于 AutoGen 代理框架构建的智能自动化系统,专注于浏览器内的自动化操作。它能够执行多种复杂任务,如填写表单、搜索和排序电商产品、定位网页内容等,从而提高在线效率,减少重复劳动。本文将详细介绍 Agent-E 的功能、技术原理以及如何运行该系统。
48 5
Agent-E:基于 AutoGen 代理框架构建的 AI 浏览器自动化系统
|
28天前
|
存储 人工智能 自然语言处理
AI经营|多Agent择优生成商品标题
商品标题中关键词的好坏是商品能否被主搜检索到的关键因素,使用大模型自动优化标题成为【AI经营】中的核心能力之一,本文讲述大模型如何帮助商家优化商品素材,提升商品竞争力。
105 13
AI经营|多Agent择优生成商品标题