Kyverno 策略治理与验证（Policy、Admission 与报告）

概述

Kyverno 以 Kubernetes 原生方式编写与执行策略，支持准入验证、变更与生成策略，便于合规治理与审计。

关键实践与参数

• 验证策略：拒绝不合规资源（如禁止特权、要求标签）。
• 变更策略：自动修正（如注入标签/注解）。
• 生成策略：自动创建关联资源（如 NetworkPolicy）。

示例（验证策略片段）

apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: require-labels
spec:
  rules:
    - name: require-owner
      match: { resources: { kinds: ["Pod"] } }
      validate:
        message: "owner 标签必需"
        pattern:
          metadata:
            labels:
              owner: "?*"

验证方法

• 提交不合规资源应被拒绝；查看事件与审计。
• 生成合规报告（Policy Report）；统计通过与失败。
• 灰度策略，避免误杀；设例外与命名空间范围。

注意事项

• 与 PSS/Admission 协同；策略冲突需协调。
• 策略版本化与审阅；保持可维护性。
• 监控策略命中与集群性能影响。