Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 757

OPA Gatekeeper

OPA Gatekeeper とは何ですか?

OPA GatekeeperOPA Gatekeeper は CNCF のポリシコントローラで、Open Policy Agent と Rego を用いて Kubernetes リソースに対するアドミッションと監査ポリシを強制します。

Gatekeeper は Open Policy Agent を Kubernetes 向けにパッケージしたものです。運用者は Rego ポリシを含む ConstraintTemplate と、テンプレートに対応する型付き CRD を導入し、その CRD のインスタンス(例:K8sRequiredLabels)が実際の Constraint になります。Gatekeeper は validating と mutating のアドミッション webhook として動作し、既存のクラスタ状態に対しても Constraint で監査します。ポリシは保護対象のスキーマと分離されているため、同じエンジンで Pod、Ingress、カスタムリソース、クラウド管理オブジェクトを統制できます。Gatekeeper は OPA エコシステム(Conftest、Styra、Terraform 等)と統合され、CI でのシフトレフト検査もクラスタでの強制も同じポリシで実現できます。

  1. 01

    全 Deployment に owner ラベルを必須化する Constraint。

  2. 02

    Gatekeeper 監査が新規の Restricted Constraint に違反する既存 Pod を一覧化する。

よくある質問

OPA Gatekeeper とは何ですか?

OPA Gatekeeper は CNCF のポリシコントローラで、Open Policy Agent と Rego を用いて Kubernetes リソースに対するアドミッションと監査ポリシを強制します。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

OPA Gatekeeper とはどういう意味ですか?

OPA Gatekeeper は CNCF のポリシコントローラで、Open Policy Agent と Rego を用いて Kubernetes リソースに対するアドミッションと監査ポリシを強制します。

OPA Gatekeeper はどのように機能しますか?

Gatekeeper は Open Policy Agent を Kubernetes 向けにパッケージしたものです。運用者は Rego ポリシを含む ConstraintTemplate と、テンプレートに対応する型付き CRD を導入し、その CRD のインスタンス(例:K8sRequiredLabels)が実際の Constraint になります。Gatekeeper は validating と mutating のアドミッション webhook として動作し、既存のクラスタ状態に対しても Constraint で監査します。ポリシは保護対象のスキーマと分離されているため、同じエンジンで Pod、Ingress、カスタムリソース、クラウド管理オブジェクトを統制できます。Gatekeeper は OPA エコシステム(Conftest、Styra、Terraform 等)と統合され、CI でのシフトレフト検査もクラスタでの強制も同じポリシで実現できます。

OPA Gatekeeper からどのように防御しますか?

OPA Gatekeeper に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

OPA Gatekeeper の別名は何ですか?

一般的な別名: Gatekeeper, OPA。

関連用語