Kyverno

Kyverno 아키텍처의 내부 구조를 분석합니다. Kubernetes 네이티브 정책 엔진으로서의 설계, Admission Controller/Background Controller/Reports Controller 아키텍처, Webhook 구성, ClusterPolicy와 Policy, validate/mutate/generate/verifyImages 규칙 타입을 다룹니다.

Kyverno의 이미지 검증 기능을 심층 분석합니다. verifyImages 규칙을 통한 cosign 서명 검증, Notary v2 지원, in-toto attestation 검증, SLSA provenance 확인, Keyless/KMS 키 관리, SBOM 검증까지 공급망 보안의 전체 흐름을 다룹니다.

Kyverno 정책 엔진의 내부 동작을 심층 분석합니다. match/exclude 리소스 필터, validate 규칙(패턴 매칭, deny, CEL, foreach), mutate 규칙(patchStrategicMerge, patchesJson6902), generate 규칙(클론, 동기화), 변수 치환(JMESPath, API 호출, ConfigMap 룩업)을 다룹니다.

Kyverno의 프로덕션 운영을 다룹니다. HA 배포(레플리카, failurePolicy), PolicyReport/ClusterPolicyReport CRD, Prometheus 메트릭과 Grafana 대시보드, 백그라운드 스캐닝, PolicyException 예외 메커니즘, Webhook 타임아웃과 API 서버 연결 트러블슈팅까지 실전 운영 가이드입니다.

Kyverno와 OPA/Gatekeeper를 아키텍처, 정책 언어, 기능, 성능, 생태계 관점에서 비교 분석합니다. YAML/CEL vs Rego 정책 언어, mutation/generation 지원, 이미지 검증, 웹훅 레이턴시, 메모리 사용량, ConstraintTemplate vs ClusterPolicy, 마이그레이션 가이드까지 다룹니다.