6.4 守门员机制：使用 Kyverno 实施 K8s 准入控制与安全策略

1. 引言：把“应当如此”写成策略

准入控制是最后一道关口。把“安全与规范”从检查清单，变为可执行的策略。Kyverno 使用原生 YAML 模式，无需学习 Rego 即可编写策略，适合大规模推广。

2. Kyverno 策略类型

• Validate：校验不符合规则的资源（阻断/告警）。
• Mutate：在入库前修改资源（自动注入/默认值）。
• Generate：自动创建相关资源（如 NetworkPolicy）。
• VerifyImages：镜像签名验签。

3. 常用策略示例库

3.1 强制 requests/limits

apiVersion:kyverno.io/v1kind:ClusterPolicymetadata:name:require-resourcesspec:validationFailureAction:Enforcerules:-name:check-resourcesmatch:resources:kinds: