主要观点：Kubernetes Admission Controllers 是强大但常被忽视的安全机制，作为网关拦截 API 服务器请求，可强制实施自定义策略或自动注入配置，对保障 Kubernetes 集群安全至关重要。
关键信息：

• 有两种类型的 Admission Controllers：Mutating 用于修改对象，Validating 用于验证对象。
• 内置控制器包括 NamespaceLifecycle、LimitRanger 等，可通过 --enable-admission-plugins 启用或禁用。
• Webhook-based Controllers 可实现自定义逻辑，如 Open Policy Agent（OPA/Gatekeeper）、Kyverno 等工具。
• 最佳实践包括开始在审计模式下评估、版本控制政策等。
• 在实际应用中，Admission Controllers 可减少运营风险和强制合规政策，大型组织使用自定义控制器。
• 需管理政策生命周期，建立清晰流程，投资观察能力以提升安全性。
  重要细节：
• OPA 使用 Rego 语言进行细粒度政策执行，通过 Gatekeeper 安装和使用。
• Kyverno 用 YAML 语法，可运行为控制器处理各种策略。
• 示例中 Kyverno 政策可阻止容器以 root 运行。
• 实际应用中金融机构和医疗组织利用 Admission Controllers 进行不同合规操作。
• 管理政策生命周期时要注意避免服务中断，通过集成日志工具提升可见性。