問題タブ [rego]

私は OPA/Rego が初めてで、ここで何が問題なのかを理解するのに苦労しています: https://play.openpolicyagent.org/p/h08NbfmF4j

ルールがすべての既存のカテゴリを返すことを*期待しているカテゴリにチームを関連付けたいと思います。accessible[team]チームに特定のカテゴリが割り当てられている場合は、そのカテゴリのみが返されます。

要件は本当に些細なことですが、「eval_conflict_error: object keys must be unique」というエラーが発生する理由がわかりません。

Open Policy Agent 内 ( https://www.openpolicyagent.org/ )

使用されているエンジンに応じて、Kubernetes に関して:

• ゲートキーパー: https://github.com/open-policy-agent/gatekeeper

また

• kube-mgmt を使用したプレーン OPA: https://www.openpolicyagent.org/docs/latest/kubernetes-introduction/#how-does-it-work-with-plain-opa-and-kube-mgmt

検証ルールを定義するには、さまざまな方法があります。

• Gatekeeper ではviolationが使用されます。ここでサンプル ルールを参照してください: https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/general

• プレーンな OPA サンプルでは、deny​​ルールについては、こちらのサンプルを参照してください: https://www.openpolicyagent.org/docs/latest/kubernetes-introduction/#how-does-it-work-with-plain-opa-and-kube-mgmt

OPA 制約フレームワークが次のように定義しているようviolationです: https://github.com/open-policy-agent/frameworks/tree/master/constraint#rule-schema

では、この背後にある正確な「ストーリー」は何ですか?異なるエンジン間で一貫していないのはなぜですか?

ノート：

• このドキュメントはこれを反映しています: https://www.openshift.com/blog/better-kubernetes-security-with-open-policy-agent-opa-part-2

• スクリプトで相互運用性をサポートする方法について説明します: https://github.com/open-policy-agent/gatekeeper/issues/1168#issuecomment-7947​​59747

• https://github.com/open-policy-agent/gatekeeper/issues/168この問題で言及されている移行は、「ドライラン」サポートのためですか?

私は OPA/Rego の初心者であり、Azure ネットワーク セキュリティ グループにアレイで定義したすべてのルールが含まれているかどうかを確認するポリシーを作成しようとしています。

問題は、ルールの 1 つが一致する場合に実行するexistRule(rules[i])と true が返され、他のルールが一致しない場合は問題にならないかのようですまたはで置き換えるexistRule(rules[i])と、その位置のルールが一致するかどうかに応じて true または false が返されます。existRule(rules[0])existRule(rules[1])

existRule(rules[i])配列のすべての要素に対して を実行した結果を取得する方法はありますか?

私はすでに試しresult := [existRule(rules[i])]ましたが、trueの要素を1つしか返しません