OPA（Open Policy Agent）とは何ですか？

ポリシーを一元管理して自動判断するオープンソースのエンジン。Regoという専用言語でルールを記述し、様々なシステムに組み込める。

OPA（Open Policy Agent）のポイントは？

Regoという宣言型言語でポリシーを記述する。KubernetesのAdmission Webhookやマイクロサービスに組み込める。アプリとポリシーを分離することで、ルール変更にコードの修正が不要。CNCFの卒業プロジェクトとして広く採用されている

【おーぴーえー（おーぷんぽりしーえーじぇんと）】

💡 番人をどこにでも連れていける「ルール裁定マシン」

📌 このページのポイント

OPA：様々なシステムから問い合わせを受け、ポリシーに基づいてYES/NOを返す

ひよこ

OPAって何をしてくれるの？

ペンギン先生

アプリやシステムから「このリクエストを許可していい？」と問い合わせを受けて、ポリシーに照らしてYES/NOを返す判定エンジンだよ。ポリシーの判断をアプリのコードから切り離せるのが特徴だね

ひよこ

Regoって言語は難しそうだけど、どんな感じで書くの？

ペンギン先生

宣言型の言語で「allow = true if 条件」みたいな形で書くよ。条件が満たされたときだけ許可する、という論理を積み上げていく感じだね。慣れると直感的に読めるようになるんだ

ひよこ

Kubernetesでよく聞くけど、どう使われているの？

ペンギン先生

KubernetesのAdmission Webhookと組み合わせて、Podのデプロイ時に「イメージにlatestタグは禁止」「リソースリクエストは必須」といったポリシーをチェックするのが定番の使い方だよ

ひよこ

マイクロサービスにも使えるって言ってたけど？

ペンギン先生

APIゲートウェイやサービスメッシュに組み込んで、「このユーザーはこのAPIを呼んでいいか」といった認可判断をOPAに委ねることもできるよ。ポリシーを一箇所に集めて管理できるから、サービスが増えても一貫性が保てるんだ

ひよこ

ポリシーを変えたいときはOPAだけ更新すればいいんだね！

ペンギン先生

そう！アプリのコードを一切触らずにルールを変更できるのが大きなメリットだよ。GitOpsでポリシーファイルを管理しておけば、変更の履歴追跡やロールバックも簡単にできるんだ

まとめ：ざっくりこれだけ覚えればOK！

「OPA」って出てきたら「ポリシーを自動判断するエンジン」と思えればだいたいOK！

📖 おまけ：英語の意味

「Open Policy Agent」＝オープンなポリシー代理人

💬 "Agent"はここでは「代理人・仲介者」という意味で、ポリシーの判断を代わりにやってくれるエンジンというイメージだよ