ghcr.io/kyverno/background-controller:v1.12.6

ghcr.io/kyverno/background-controller 是 Kyverno 策略引擎的核心组件之一，专门负责 Kubernetes 集群中存量资源的策略合规管理与异步处理。与处理实时请求的准入控制器不同，背景控制器聚焦于“非即时性”场景，确保集群内已存在的资源始终符合最新的策略规则，是实现全生命周期策略治理的关键一环。

核心功能：存量资源的合规化与同步

背景控制器的核心职责是监听策略变更事件（如策略创建、更新或删除），并触发对集群内相关资源的批量扫描与规则执行。例如，当管理员更新一条“强制所有命名空间添加 env: production 标签”的策略后，背景控制器会自动识别所有未添加该标签的命名空间，按规则为其补充标签；若策略要求“限制 Deployment 的副本数不超过 10”，则会检查存量 Deployment 并修正超规资源。此外，它还会定期巡检集群资源，确保长期运行的资源未因配置漂移而偏离策略要求（如容器镜像版本更新导致的合规性失效）。

工作机制：低侵入式的异步处理流程

为避免对集群性能造成冲击，背景控制器采用“事件驱动+分批处理”的轻量级机制：

1. 事件触发：仅在策略变更或预设周期（可配置）触发扫描，减少无效资源消耗；
2. 批量执行：按资源类型（如 Deployment、Service）或命名空间分批处理资源，避免一次性扫描导致的负载峰值；
3. 状态反馈：执行完毕后，会将资源的合规状态（如“合规”“违规”“正在修正”）更新至资源注解或 Kyverno 自定义状态对象，方便管理员通过 kubectl describe 查看详情。

典型应用场景

• 集群迁移或初始化：新集群接入 Kyverno 时，背景控制器可批量修正历史资源（如为旧 Pod 添加安全上下文），快速实现合规基线；
• 策略迭代后的存量同步：当策略规则更新（如收紧资源限制或添加新的标签要求），背景控制器自动同步所有存量资源，避免“新资源合规、旧资源豁免”的治理盲区；
• 大规模集群巡检：在节点或资源数量较多的集群中，通过定时巡检发现因人工操作、配置漂移导致的策略违规（如意外删除的网络策略标签），并自动修复或告警。

优势：与准入控制器协同，实现“全链路合规”

背景控制器与 Kyverno 准入控制器形成互补：准入控制器拦截新资源的不合规请求（“入口把关”），背景控制器修正存量资源的不合规状态（“存量治理”），两者结合实现了从资源创建到运行的全生命周期策略覆盖。此外，背景控制器通过以下设计降低集群负担：

• 按需扫描：仅处理与策略相关的资源类型，避免全量资源遍历；
• 失败重试：对执行失败的资源（如网络波动导致的 API 调用超时）进行有限次数重试，确保最终一致性；
• 资源隔离：通过配置并发数和速率限制，避免批量处理时占用过多集群资源。

总结

作为 Kyverno 策略引擎的“后台管家”，background-controller 解决了 Kubernetes 策略治理中“存量资源合规”这一核心痛点。它通过异步、低侵入的方式，确保集群资源无论新旧均能符合策略要求，为管理员提供了从“准入控制”到“持续合规”的完整治理闭环，是构建安全、有序 Kubernetes 环境的重要工具。