Kyverno 1.14.1 版本中准入控制器与报告组件的依赖问题分析

问题背景

在 Kubernetes 安全策略管理工具 Kyverno 的 1.14.1 版本中，用户发现了一个关键性功能缺陷：当禁用报告组件时，准入控制器(admission controller)无法正常启动，会进入崩溃循环状态。这个问题在生产环境中可能造成严重的影响，因为准入控制器是 Kyverno 提供策略执行能力的核心组件。

问题现象

当用户同时安装 Kyverno 的准入控制器和报告组件（包括 policy reporter、policy reporter UI 和 report server）时，系统运行正常。然而，一旦移除或禁用报告组件，准入控制器 Pod 在重启后会持续崩溃，进入 CrashLoopBackOff 状态。

错误日志显示准入控制器无法启动报告监视器(watcher)，报错信息为"the server could not find the requested resource"。即使删除相关的验证和变异 webhook 配置，以及报告相关的 API 服务，问题依然存在。

技术分析

Kyverno 的设计支持多种部署模式，可以根据不同使用场景选择启用特定控制器：

1. 作为准入 Webhook 运行：提供准入验证、变更和镜像验证功能，需要准入控制器、报告控制器和后台控制器
2. 作为报告组件运行：审计现有集群资源，需要报告控制器、准入控制器和后台控制器
3. 作为资源生成器运行：自动同步或创建资源，需要准入控制器和后台控制器
4. 作为清理组件运行：清理 Kubernetes 资源，只需要清理控制器

在 1.14.1 版本中，准入控制器对报告相关的 CRD 存在硬性依赖，即使不启用报告功能，也需要安装以下 CRD：

• clusterephemeralreports.reports.kyverno.io
• ephemeralreports.reports.kyverno.io
• policyreports.wgpolicyk8s.io
• clusterpolicyreports.wgpolicyk8s.io

这种设计导致了当用户仅需要准入控制功能时，仍然必须安装这些报告相关的 CRD，否则准入控制器将无法启动。

解决方案

Kyverno 社区已经通过两个关键 PR 解决了这个问题：

1. 允许完全禁用报告功能，包括报告控制器和后台控制器
2. 支持仅运行准入控制器而不安装报告相关的 CRD

这些改进使得 Kyverno 的部署更加灵活，用户可以根据实际需求选择安装必要的组件，而不必强制安装所有相关资源。

最佳实践建议

对于不同使用场景的用户，建议采取以下部署策略：

• 仅需策略执行功能的用户：可以仅部署准入控制器，无需安装报告组件和相关 CRD
• 需要完整功能的用户：同时部署准入控制器和报告组件
• 仅需审计功能的用户：可以仅部署报告组件

在生产环境中升级或部署 Kyverno 时，建议：

1. 仔细规划所需的组件组合
2. 测试不同组件组合的兼容性
3. 关注 Kyverno 的版本更新说明，了解组件依赖关系的变化

总结

Kyverno 1.14.1 版本中准入控制器对报告组件的硬性依赖问题已经得到修复。新版本提供了更灵活的部署选项，允许用户根据实际需求选择安装组件，而不必承担不必要的资源开销。这一改进使得 Kyverno 在资源受限环境或仅需部分功能的场景下部署更加简便高效。