Container Service for Kubernetes：使用Kyverno作為策略治理引擎

Kyverno以動態准入控制器（Dynamic Admission Controller）的形式運行在Kubernetes叢集中，攔截來自API Server的Webhook准入請求，執行校正（Validating）或變更（Mutating）操作，並返回審計結果。

下圖展示 Kyverno 如何通過 Admission Webhook 在 API Server 的准入階段進行策略校正和資源變更。

適用情境

ACK安全性原則管理功能預設提供基於OPA Gatekeeper的安全性原則管理能力，並內建面向不同安全合規和營運情境的容器安全性原則規則庫，以滿足通用的審計和攔截需求。它支援多策略執行個體部署，可與SLSLog Service整合，以提升策略治理的可觀測性。

Kyverno是為Kubernetes原生設計的策略引擎，使用標準CRD來定義和管理原則，提供更為簡潔、易用的體驗。其核心優勢包括：

• YAML定義：策略採用標準YAML格式編寫，與Kubernetes Manifests風格一致，無需學習Rego等專用策略語言，降低使用門檻。

• 豐富的功能支援：原生支援校正（Validate）、修改（Mutate）和產生（Generate）操作，能覆蓋更廣泛的自動化和Policy-as-Code情境。

• 覆蓋存量資源：不僅在資源准入時生效，還支援對叢集存量資源進行掃描、報告、修改與產生操作。

• 關聯資源自動產生：可根據策略自動建立NetworkPolicy、ConfigMap等關聯資源，實現自動化配置。

相較於Kubernetes社區原生的ValidatingAdmissionPolicy和MutatingAdmissionPolicy，Kyverno的企業級策略治理能力更為全面。推薦的使用情境如下。

• 自訂策略：需要為CRD快速編寫和部署策略。

• 修改與建置原則：需要使用Mutating或Generating策略。

  Kyverno具備完善的緩衝、外部資料調用和報告機制，並擴充了CEL文法庫，能滿足企業特定情境下Policy-as-Code的擴充需求。

• 多叢集策略治理：期望通過CLI、API或與GitOps工具（如ArgoCD）整合，實現跨多個叢集的統一策略分發與管理。