ghcr.io/kyverno/reports-controller:v1.12.6

ghcr.io/kyverno/reports-controller 是 Kyverno 策略引擎的核心组件之一，专门负责 Kubernetes 集群中策略执行报告的生成、管理与分发。作为 Kyverno 生态的重要部分，它与策略引擎紧密协作，在 Kyverno 对集群资源执行策略检查（如安全基线校验、配置合规性审核等）后，统一收集、处理并存储执行结果，为用户提供清晰的策略落地视图。

核心功能

该控制器的核心能力集中在三方面：
首先是报告生成与结构化。当 Kyverno 策略（如验证、变异规则）作用于 Pod、Deployment 等资源时，reports-controller 会实时捕获执行结果（包括通过、失败、警告等状态），并按标准化格式（如包含资源信息、策略名称、检查项、结果详情的 JSON/YAML 结构）生成报告，确保结果可追溯、易解析。
其次是报告生命周期管理。用户可通过自定义资源（CRD）配置报告的保留策略（如保留最近 30 天报告）、清理规则（自动删除过期数据），避免无意义的存储占用；同时支持按策略类型、资源命名空间、时间范围等维度筛选报告，提升查询效率。
此外，它还提供集成与分发能力。通过 Kubernetes API 暴露报告数据，支持与 kubectl、Kyverno CLI 或 Grafana 等监控平台对接，用户可直接查询实时合规状态，或通过可视化面板追踪策略执行趋势。

技术特性

作为 Kubernetes 原生控制器，reports-controller 完全基于 K8s 架构设计：通过自定义资源（如 PolicyReport、ClusterPolicyReport）定义报告元数据与内容，利用 K8s 的声明式 API 实现配置管理；支持横向扩展，可根据集群规模动态调整处理能力；同时兼容 Kyverno 的策略版本控制，确保报告与策略迭代同步。

应用场景

在实际运维中，该组件主要用于三大场景：

• 合规监控：实时展示集群资源对安全策略（如镜像源校验、权限控制）的符合率，帮助团队快速定位不合规资源（如使用未授权镜像的 Pod）。
• 审计追溯：按时间维度归档报告，满足 PCI DSS、SOC 2 等合规审计要求，提供策略执行的历史证据链。
• 问题排查：当策略执行异常（如规则误判）时，通过报告详情（如具体检查项、资源配置快照）定位问题根源，加速故障修复。

通过统一管理策略执行报告，reports-controller 帮助用户摆脱分散的日志查询与手动汇总工作，让集群合规状态“可视化、可审计、可追溯”，是 Kyverno 实现“策略即代码”落地的关键支撑工具。