Kyverno
Kyverno 是什么?
KyvernoKyverno 是 CNCF 的 Kubernetes 策略引擎,使用原生 YAML(而非新 DSL)编写策略,实现资源的校验、变更与生成。
Kyverno 以准入 webhook 形式部署,运行以 YAML 编写的 ClusterPolicy 或 Policy CR,支持 selector、match、validate、mutate、generate 与 verifyImages 等规则。由于策略语言与 Kubernetes 对象结构一致,熟悉 manifest 的团队无需学习 Rego 即可编写策略。Kyverno 还提供镜像验证(Cosign/Notation)、对已有资源的后台扫描、例外流程,以及在新建命名空间时自动生成依赖对象(NetworkPolicy、RoleBinding)。它常用于强制执行 Pod Security Standards、镜像签名、标签规范与供应链证明,与 OPA Gatekeeper 在准入策略领域竞争。
● 示例
- 01
为每个新命名空间自动生成 default-deny NetworkPolicy 的 Kyverno 策略。
- 02
verifyImages 策略要求所有容器镜像必须携带有效的 Cosign 签名。
● 常见问题
Kyverno 是什么?
Kyverno 是 CNCF 的 Kubernetes 策略引擎,使用原生 YAML(而非新 DSL)编写策略,实现资源的校验、变更与生成。 它属于网络安全的 云安全 分类。
Kyverno 是什么意思?
Kyverno 是 CNCF 的 Kubernetes 策略引擎,使用原生 YAML(而非新 DSL)编写策略,实现资源的校验、变更与生成。
如何防御 Kyverno?
针对 Kyverno 的防御通常结合技术控制与运营实践,详见上方完整定义。
Kyverno 还有哪些其他名称?
常见的别称包括: Kyverno Policy, ClusterPolicy。