本文档采用自动化机器翻译技术翻译。尽管我们力求提供准确的译文，但不对翻译内容的完整性、准确性或可靠性作出任何保证。若出现任何内容不一致情况，请以原始英文版本为准，且原始英文版本为权威文本。

SUSE Security Admission Controller

Kubewarden 是一个策略引擎，能够保护并帮助管理您的集群资源。它通过策略允许对资源请求进行验证和变更，包括上下文感知策略和验证镜像签名。它可以在监控或强制模式下运行策略，并提供集群状态的概览。

Kubewarden 旨在成为通用策略引擎，通过启用并简化策略即代码来实现。Kubewarden 策略被编译为 WebAssembly：它们体积小（400KB ~ 2MB），沙盒化、安全且可移植。它旨在通过满足您组织中每个角色的需求而变得通用：

策略用户：使用 Kubernetes 自定义资源管理和声明策略，重用 Rego（OPA 和 Gatekeeper）编写的现有策略。在 CI/CD 中在集群外测试策略。
策略开发者：使用您喜欢的 Wasm 编译语言（Rego、Go、Rust、C#、Swift、TypeScript 等）编写策略。重用您已经熟悉的工具、库和工作流程生态系统。
策略分发者：策略是 OCI 工件，通过您的 OCI 储存库提供它们，并在您的基础设施中使用行业标准，如软件材料清单和工件签名。
集群操作员：Kubewarden 是模块化的（OCI 注册表、策略服务器、审计扫描器、控制器）。配置您的部署以满足您的需求，隔离不同的租户。通过审计扫描器和策略报告获取集群中过去、当前和可能的违规行为的概览。
Kubewarden 集成者：将其用作编写新的 Kubewarden 模块和自定义策略的平台。

SUSE Security Admission Controller 与 Rancher 一起使用

Kubewarden 的上游 Helm 图表已完全集成作为 Rancher 应用，提供安装选项的用户界面。这些图表还附带尊重 Rancher 堆栈的默认设置（例如：不对 Rancher 系统命名空间执行策略），以及默认的策略服务器和策略。用户可以访问所有 Kubewarden 功能，并可以通过与 Kubernetes API 交互（例如：使用 kubectl）手动部署策略服务器和策略。

Kubewarden 完全替代了被移除的 Kubernetes Pod 安全策略。Kubewarden 还通过增强其安全能力，与最近版本的 Kubernetes 引入的新 Pod 安全准入功能集成。

SUSE Security Admission Controller 与 Cloud Native

可用的 Rancher UI 扩展将 Kubewarden 集成到 Rancher UI 中。UI 扩展自动安装和配置 Kubewarden 堆栈，并配置对 SUSE 维护的策略的访问权限。UI 扩展提供对经过策划的现成策略目录的访问。使用 UI 扩展，用户可以浏览、安装和配置这些策略。

UI 扩展提供了 Kubewarden 堆栈组件及其行为的概述。这包括访问 Kubewarden 指标和跟踪事件。操作员可以理解策略对集群的影响并排查问题。

此外，UI 扩展提供了 Policy Reporter UI，它为 Kubernetes 集群的合规状态提供了可视化概览。通过这个 UI，操作员可以快速识别所有不合规的 Kubernetes 资源，理解违规原因并采取相应措施。所有这些都得益于 Rancher Prime 的支持服务。