Open Policy Agent（开放政策代理，OPA）是一个开源的、通用的策略引擎，它支持跨整个堆栈执行统一的、上下文感知的策略。该项目于 2018 年 4 月进入 CNCF 沙箱，一年后进入孵化阶段。来自大约 30 个组织的 90 多名人员为 OPA 贡献力量，维护者来自四个组织，包括谷歌、微软、VMware 和 Styra。

OPA 提供了一种高级声明性语言来在整个堆栈中编写和实施策略。

使用 OPA，你可以定义 rules 来管理你的系统应该如何运作。这些 rules 的存在是为了回答以下问题：

• 用户 X 可以调用资源 Z 上的操作 Y 吗？
• 应将工作负载 W 部署到哪些群集？
• 在创建资源 R之 前，必须在资源 R 上设置哪些标签？

你将服务与 OPA 集成，这样这些政策决定就不必在你的服务中硬编码。服务与 OPA 的集成是通过在需要政策决定时执行查询来实现的。

当你向 OPA 查询策略决策时，OPA 会评估 rules 和 data（由你提供）以得出答案。该策略决策作为查询结果发送回去。

例如，在一个简单的 API 授权用例中：

• 你编写允许（或拒绝）访问服务 API 的规则。
• 你的服务在收到 API 请求时会查询 OPA。
• OPA returns 允许（或拒绝）你的服务决策。
• 你的服务通过相应地接受或拒绝请求来执行决策。