首页
/ Kyverno 1.14.0 版本发布:Kubernetes 策略管理的新里程碑

Kyverno 1.14.0 版本发布:Kubernetes 策略管理的新里程碑

2025-06-09 17:24:34作者:管翌锬

项目简介

Kyverno 是一个专为 Kubernetes 设计的策略引擎,它允许管理员通过声明式的方式定义策略来管理集群资源。与传统的准入控制器不同,Kyverno 的策略使用 Kubernetes 原生 YAML 格式编写,无需学习新的语言或工具。它提供了验证、变更、生成和清理资源的能力,帮助组织实现安全合规、资源标准化和运维自动化。

1.14.0 版本核心特性解析

1. 全新策略类型支持

本次版本引入了三种革命性的新策略类型,显著扩展了 Kyverno 的能力边界:

ValidatingPolicy
这是一种基于 CEL(Common Expression Language)的验证策略,允许用户使用 Kubernetes 1.26+ 引入的原生验证准入策略功能。与传统的 Kyverno 验证规则相比,它能提供更高的性能,因为验证逻辑直接在 Kubernetes API 服务器中执行,无需额外的 webhook 调用。开发者现在可以编写如下的策略:

apiVersion: policies.kyverno.io/v1
kind: ValidatingPolicy
metadata:
  name: require-labels
spec:
  validationFailureAction: Audit
  rules:
  - name: check-labels
    match:
      any:
      - resources:
          kinds:
          - Pod
    validate:
      cel:
        expressions:
        - expression: "object.metadata.labels.hasKey('app')"
          message: "所有 Pod 必须包含 'app' 标签"

ImageValidatingPolicy
专为容器镜像验证设计的新策略类型,支持对镜像签名、安全检查结果等进行验证。这为 DevSecOps 流程提供了原生支持,例如:

apiVersion: policies.kyverno.io/v1
kind: ImageValidatingPolicy
metadata:
  name: check-image-sources
spec:
  validationFailureAction: Enforce
  rules:
  - name: only-approved-registries
    match:
      any:
      - resources:
          kinds:
          - Pod
    verifyImages:
    - imageReferences:
      - "*"
      attestors:
      - entries:
        - keys:
            publicKeys: |-
              -----BEGIN PUBLIC KEY-----
              ...
              -----END PUBLIC KEY-----

PolicyException 的 CEL 支持
现在可以使用 CEL 表达式定义更灵活的异常规则,使得策略例外管理更加精细化和动态化。

2. 性能优化与架构改进

JMESPath 缓存机制
通过引入 JMESPath 表达式的缓存机制,显著减少了策略评估时的计算开销。这对于频繁评估的复杂策略尤其有利,可降低 CPU 使用率高达 30%。

全局上下文条目优化
减少了不必要的 JSON 序列化/反序列化操作,在处理大型配置数据时内存占用降低明显。

证书管理改进
优化了证书续订流程,确保在证书轮换时更可靠地清理旧 CA 证书,避免潜在的连接问题。

3. 开发者体验提升

CLI 工具增强
新增了多个实用命令和标志:

  • permission 命令可快速生成所需的 ClusterRole 和 ClusterRoleBinding
  • 测试命令支持 --required-tests 标志,确保关键测试用例通过
  • 文档生成支持 Markdown 链接格式,便于知识库建设

自动生成机制
对于 Pod 控制器的自动生成实现进行了全面增强,处理边缘案例更可靠,特别是针对 StatefulSet 和 DaemonSet 等复杂控制器。

4. 安全增强

安全问题修复
解决了多个安全问题,包括:

  • 修复了可能绕过使用命名空间选择器的策略规则的问题
  • 通过升级到 Go 1.23.8 解决了相关依赖的安全问题

Pod 安全准入更新
同步至 Kubernetes v1.32.3 的 Pod 安全标准,确保与最新安全实践保持一致。

技术深度解析

ValidatingPolicy 的工作原理

当 Kyverno 创建 ValidatingPolicy 时,实际上会在背后生成 Kubernetes 原生的 ValidatingAdmissionPolicy 资源。这种架构带来了几个关键优势:

  1. 性能提升:验证逻辑直接在 kube-apiserver 中执行,消除了网络延迟
  2. 资源效率:减少了 Kyverno 控制器的计算负担
  3. 一致性保证:即使 Kyverno 控制器暂时不可用,策略仍能执行

镜像验证的技术实现

新的 ImageValidatingPolicy 整合了多种验证技术:

  • 基于 sigstore 的 cosign 签名验证
  • 安全检查结果验证(可与 Trivy、Grype 等工具集成)
  • 镜像来源验证(registry 白名单)

验证过程发生在准入阶段,确保不符合安全要求的镜像无法进入集群。

升级建议与最佳实践

对于计划升级到 1.14.0 版本的用户,建议:

  1. 分阶段部署
    先在小范围测试新策略类型,特别是生产环境关键工作负载。

  2. 策略迁移策略
    逐步将现有验证策略转换为 ValidatingPolicy 类型,可从审计模式开始:

    validationFailureAction: Audit
    

    确认效果后再切换为强制执行模式。

  3. 资源监控
    升级后密切监控 API 服务器和 Kyverno 控制器的资源使用情况,新特性可能改变负载模式。

  4. 异常管理
    利用新的 CEL 异常规则重构现有例外,使其更加精确和可维护。

未来展望

1.14.0 版本奠定了 Kyverno 作为多策略引擎的基础架构。展望未来,我们预期将看到:

  • 更多策略类型支持,如网络策略自动化
  • 与 OPA/Gatekeeper 的更深度集成方案
  • 策略依赖管理和版本控制功能
  • 增强的策略模拟和影响分析工具

这个版本标志着 Kyverno 从单纯的准入控制器向全面的 Kubernetes 策略管理平台演进的重要一步。新引入的策略类型不仅扩展了功能范围,还通过性能优化和架构改进为大规模企业部署铺平了道路。

登录后查看全文
热门项目推荐
相关项目推荐

热门内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
144
1.93 K
kernelkernel
deepin linux kernel
C
22
6
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
189
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
930
553
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
423
392
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
64
511