如何在单个rego策略中压缩和优化开放策略代理

Question

我是雷戈和OPA (开放策略代理)的新手。

我试图为允许策略重写的实现创建一个默认策略，但在正常情况下，在一个简单的JSON文档中使用“策略配置”。

我使用输入作为“策略配置”，数据是要由策略处理的数据。数据本身是预处理的，其中"$error“是用错误计算的JSON元素。

该策略似乎运行良好，但据我所知，它必须是在rego中表达相同内容的一种更简单的方法，因此也可以更多地使用优化的(当前的策略大约需要1ms来评估)。

游乐场包含以下要在线评估的设置.

干杯，马里奥:)

input.json

{
  "range": {"IDT**": [-100, 100], "RHCS**": [20, 200]},
  "report": ["ODT", "IDT_*_O2"],
  "skip": ["IDT**"]
}

data.json

{
  "target": {
    "IDT": 22,
    "IDT_C1_O1": 22.2,
    "IDT_C1_O2": 101,
    "IDT_C1_O3": "$error",
    "IDT_C1_O4": "$error",
    "ODT": "$error",
    "RHCS_C13_O44": "$error"
  }
}

计算cbprovider rego策略后的输出为

{
    "all_errors": [ "RHCS_C13_O44", "IDT_C1_O3", "IDT_C1_O4", "ODT", "IDT_C1_O2" ],
    "report": [ "ODT", "IDT_C1_O2" ],
    "skip": [ "IDT_C1_O3", "IDT_C1_O4" ]
}

package cbprovider

# Errors to be skipped
# If present in report as well it will not be skipped
# (report overrides skip)
skip[dp] {
    my := data.target[dp]
    my == "$error"   
    
    matchSkip(dp)
    
    not matchReport(dp)
}

# Errors to be skipped when out of range
skip[dp] {
    my := data.target[dp]
    my != "$error"   
    
    matchSkip(dp)
    
    not matchReport(dp)
    
    range := get_range(dp)
    not in_range(my, range[0], range[1])    
}


# Errors to be reported
# If matches both in skip and report -> report overrides skip
report[dp] {
    my := data.target[dp]
    my == "$error"   
    
    matchReport(dp)
}

# Errors to be reported when out of range
report[dp] {
    my := data.target[dp]
    my != "$error"   
    
    matchReport(dp)

    range := get_range(dp)
    not in_range(my, range[0], range[1])
}


all_errors[dp] {
    my := data.target[dp]
    my == "$error"     
}

all_errors[dp] {
    my := data.target[dp]
    my != "$error"
    
    range := get_range(dp)
    not in_range(my, range[0], range[1])
}

in_range(num, low, high) {
    num >= low
    num <= high
}

get_range(dp) = range {
    some key
    range := input.range[key]
    
    glob.match(key, ["_"], dp)
}

matchSkip(dp) {
    some i
    input.skip[i]
    glob.match(input.skip[i], ["_"], dp)
}

matchReport(dp) {
    some i
    input.report[i]
    glob.match(input.report[i], ["_"], dp)
}

Answer 1

我觉得你的政策看起来不错。如果您需要进一步调优它以提高性能，我建议您考虑如何调整您的数据，以便您的策略不需要依赖glob.match。从临时测试来看，目前大约有一半的评估时间是在那里度过的。