Kyverno는 CNCF Incubating 프로젝트로, Kubernetes 네이티브 환경에서 Policy-as-Code를 실현하는 데 최적화된 오픈소스 정책 엔진입니다. 기존의 OPA (Open Policy Agent) 기반 도구들과 달리 Kyverno는 Kubernetes CRD와 리소스 스키마에 자연스럽게 통합되며, YAML 기반의 직관적인 정책 정의가 가능합니다.
기능적으로 Kyverno는 다음을 제공합니다:
정책 검증(Validation): 리소스 생성/수정 시 정책 준수 여부 확인
정책 변형(Mutation): 라벨 추가, 디폴트 값 삽입 등 리소스를 자동으로 수정
이미지 검증(Image Verification): 컨테이너 이미지의 서명 여부 및 레지스트리 신뢰성 검증
Generate 정책: ConfigMap, Secret 등 클러스터 리소스를 자동 생성
Policy Report CRDs: 정책 위반을 구조화된 리포트 형태로 제공
특히 DevSecOps 및 GitOps 환경에서 Kyverno는 보안 컴플라이언스, 멀티테넌시, 네임스페이스 제어 등 클러스터의 일관성과 안정성을 강화하는 데 중요한 역할을 합니다. Kyverno는 Kubectl CLI와도 잘 통합되며, Kyverno CLI를 통해 정책 테스트 및 디버깅도 가능합니다.
