使用Kyverno作为策略治理引擎

Kyverno以动态准入控制器（Dynamic Admission Controller）的形式运行在Kubernetes集群中，拦截来自API Server的Webhook准入请求，执行校验（Validating）或变更（Mutating）操作，并返回审计结果。

下图展示 Kyverno 如何通过 Admission Webhook 在 API Server 的准入阶段进行策略校验和资源变更。

适用场景

ACK安全策略管理功能默认提供基于OPA Gatekeeper的安全策略管理能力，并内置面向不同安全合规和运维场景的容器安全策略规则库，以满足通用的审计和拦截需求。它支持多策略实例部署，可与SLS日志服务集成，以提升策略治理的可观测性。

Kyverno是为Kubernetes原生设计的策略引擎，使用标准CRD来定义和管理策略，提供更为简洁、易用的体验。其核心优势包括：

• YAML定义：策略采用标准YAML格式编写，与Kubernetes Manifests风格一致，无需学习Rego等专用策略语言，降低使用门槛。

• 丰富的功能支持：原生支持校验（Validate）、修改（Mutate）和生成（Generate）操作，能覆盖更广泛的自动化和Policy-as-Code场景。

• 覆盖存量资源：不仅在资源准入时生效，还支持对集群存量资源进行扫描、报告、修改与生成操作。

• 关联资源自动生成：可根据策略自动创建NetworkPolicy、ConfigMap等关联资源，实现自动化配置。

相较于Kubernetes社区原生的ValidatingAdmissionPolicy和MutatingAdmissionPolicy，Kyverno的企业级策略治理能力更为全面。推荐的使用场景如下。

• 自定义策略：需要为CRD快速编写和部署策略。

• 修改与生成策略：需要使用Mutating或Generating策略。

  Kyverno具备完善的缓存、外部数据调用和报告机制，并扩展了CEL语法库，能满足企业特定场景下Policy-as-Code的扩展需求。

• 多集群策略治理：期望通过CLI、API或与GitOps工具（如ArgoCD）集成，实现跨多个集群的统一策略分发与管理。