# 導入 OPA 在金融業監控 k8s 部署檔的安全性 - 李啓維(kiwi) {%hackmd @HWDC/BJOE4qInR %} >#### 》[議程介紹](https://hwdc.ithome.com.tw/2024/session-page/3213) >#### 》[填寫議程滿意度問卷｜回饋建言給辛苦的講者](https://forms.gle/2Q1WBB3avbgVSVay7) 這是投影片：https://www.slideshare.net/slideshow/opa-k8s-implementing-opa-for-secure-kubernetes-configuration-in-the-financial-industry/271733354 Medium: https://medium.com/@sean22492249 部落格：https://kiwilee-blog.netlify.app/ OPA https://www.openpolicyagent.org/ 不用Pod Standard 原因 - 分散設定檔 - Policy 只有模板 - 只能用在Pod - 支援例外很低 Open Policy Agent - POA - GateKeeper 好處: - 集中管理Policy - 依據image namespace name 來排除policy - 動態調整Policy enforce action 困擾: Rego語法困難 - 要部署才能觸發(耗資源) - Take away - 找到痛點 - 盡量滿足Open-Closed Principle， 不動原本架構 - 設定邊界：軌跡、審核、自動化