Kyverno 1.14.0 版本发布:Kubernetes 策略管理的新里程碑
项目简介
Kyverno 是一个专为 Kubernetes 设计的策略引擎,它允许管理员通过声明式的方式定义策略来管理集群资源。与传统的准入控制器不同,Kyverno 的策略使用 Kubernetes 原生 YAML 格式编写,无需学习新的语言或工具。它提供了验证、变更、生成和清理资源的能力,帮助组织实现安全合规、资源标准化和运维自动化。
1.14.0 版本核心特性解析
1. 全新策略类型支持
本次版本引入了三种革命性的新策略类型,显著扩展了 Kyverno 的能力边界:
ValidatingPolicy:
这是一种基于 CEL(Common Expression Language)的验证策略,允许用户使用 Kubernetes 1.26+ 引入的原生验证准入策略功能。与传统的 Kyverno 验证规则相比,它能提供更高的性能,因为验证逻辑直接在 Kubernetes API 服务器中执行,无需额外的 webhook 调用。开发者现在可以编写如下的策略:
apiVersion: policies.kyverno.io/v1
kind: ValidatingPolicy
metadata:
name: require-labels
spec:
validationFailureAction: Audit
rules:
- name: check-labels
match:
any:
- resources:
kinds:
- Pod
validate:
cel:
expressions:
- expression: "object.metadata.labels.hasKey('app')"
message: "所有 Pod 必须包含 'app' 标签"
ImageValidatingPolicy:
专为容器镜像验证设计的新策略类型,支持对镜像签名、安全检查结果等进行验证。这为 DevSecOps 流程提供了原生支持,例如:
apiVersion: policies.kyverno.io/v1
kind: ImageValidatingPolicy
metadata:
name: check-image-sources
spec:
validationFailureAction: Enforce
rules:
- name: only-approved-registries
match:
any:
- resources:
kinds:
- Pod
verifyImages:
- imageReferences:
- "*"
attestors:
- entries:
- keys:
publicKeys: |-
-----BEGIN PUBLIC KEY-----
...
-----END PUBLIC KEY-----
PolicyException 的 CEL 支持:
现在可以使用 CEL 表达式定义更灵活的异常规则,使得策略例外管理更加精细化和动态化。
2. 性能优化与架构改进
JMESPath 缓存机制:
通过引入 JMESPath 表达式的缓存机制,显著减少了策略评估时的计算开销。这对于频繁评估的复杂策略尤其有利,可降低 CPU 使用率高达 30%。
全局上下文条目优化:
减少了不必要的 JSON 序列化/反序列化操作,在处理大型配置数据时内存占用降低明显。
证书管理改进:
优化了证书续订流程,确保在证书轮换时更可靠地清理旧 CA 证书,避免潜在的连接问题。
3. 开发者体验提升
CLI 工具增强:
新增了多个实用命令和标志:
permission
命令可快速生成所需的 ClusterRole 和 ClusterRoleBinding- 测试命令支持
--required-tests
标志,确保关键测试用例通过 - 文档生成支持 Markdown 链接格式,便于知识库建设
自动生成机制:
对于 Pod 控制器的自动生成实现进行了全面增强,处理边缘案例更可靠,特别是针对 StatefulSet 和 DaemonSet 等复杂控制器。
4. 安全增强
安全问题修复:
解决了多个安全问题,包括:
- 修复了可能绕过使用命名空间选择器的策略规则的问题
- 通过升级到 Go 1.23.8 解决了相关依赖的安全问题
Pod 安全准入更新:
同步至 Kubernetes v1.32.3 的 Pod 安全标准,确保与最新安全实践保持一致。
技术深度解析
ValidatingPolicy 的工作原理
当 Kyverno 创建 ValidatingPolicy 时,实际上会在背后生成 Kubernetes 原生的 ValidatingAdmissionPolicy 资源。这种架构带来了几个关键优势:
- 性能提升:验证逻辑直接在 kube-apiserver 中执行,消除了网络延迟
- 资源效率:减少了 Kyverno 控制器的计算负担
- 一致性保证:即使 Kyverno 控制器暂时不可用,策略仍能执行
镜像验证的技术实现
新的 ImageValidatingPolicy 整合了多种验证技术:
- 基于 sigstore 的 cosign 签名验证
- 安全检查结果验证(可与 Trivy、Grype 等工具集成)
- 镜像来源验证(registry 白名单)
验证过程发生在准入阶段,确保不符合安全要求的镜像无法进入集群。
升级建议与最佳实践
对于计划升级到 1.14.0 版本的用户,建议:
-
分阶段部署:
先在小范围测试新策略类型,特别是生产环境关键工作负载。 -
策略迁移策略:
逐步将现有验证策略转换为 ValidatingPolicy 类型,可从审计模式开始:validationFailureAction: Audit
确认效果后再切换为强制执行模式。
-
资源监控:
升级后密切监控 API 服务器和 Kyverno 控制器的资源使用情况,新特性可能改变负载模式。 -
异常管理:
利用新的 CEL 异常规则重构现有例外,使其更加精确和可维护。
未来展望
1.14.0 版本奠定了 Kyverno 作为多策略引擎的基础架构。展望未来,我们预期将看到:
- 更多策略类型支持,如网络策略自动化
- 与 OPA/Gatekeeper 的更深度集成方案
- 策略依赖管理和版本控制功能
- 增强的策略模拟和影响分析工具
这个版本标志着 Kyverno 从单纯的准入控制器向全面的 Kubernetes 策略管理平台演进的重要一步。新引入的策略类型不仅扩展了功能范围,还通过性能优化和架构改进为大规模企业部署铺平了道路。
- DDeepSeek-V3.1-BaseDeepSeek-V3.1 是一款支持思考模式与非思考模式的混合模型Python00
- QQwen-Image-Edit基于200亿参数Qwen-Image构建,Qwen-Image-Edit实现精准文本渲染与图像编辑,融合语义与外观控制能力Jinja00
GitCode-文心大模型-智源研究院AI应用开发大赛
GitCode&文心大模型&智源研究院强强联合,发起的AI应用开发大赛;总奖池8W,单人最高可得价值3W奖励。快来参加吧~044CommonUtilLibrary
快速开发工具类收集,史上最全的开发工具类,欢迎Follow、Fork、StarJava04GitCode百大开源项目
GitCode百大计划旨在表彰GitCode平台上积极推动项目社区化,拥有广泛影响力的G-Star项目,入选项目不仅代表了GitCode开源生态的蓬勃发展,也反映了当下开源行业的发展趋势。06GOT-OCR-2.0-hf
阶跃星辰StepFun推出的GOT-OCR-2.0-hf是一款强大的多语言OCR开源模型,支持从普通文档到复杂场景的文字识别。它能精准处理表格、图表、数学公式、几何图形甚至乐谱等特殊内容,输出结果可通过第三方工具渲染成多种格式。模型支持1024×1024高分辨率输入,具备多页批量处理、动态分块识别和交互式区域选择等创新功能,用户可通过坐标或颜色指定识别区域。基于Apache 2.0协议开源,提供Hugging Face演示和完整代码,适用于学术研究到工业应用的广泛场景,为OCR领域带来突破性解决方案。00openHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!C0301- WWan2.2-S2V-14B【Wan2.2 全新发布|更强画质,更快生成】新一代视频生成模型 Wan2.2,创新采用MoE架构,实现电影级美学与复杂运动控制,支持720P高清文本/图像生成视频,消费级显卡即可流畅运行,性能达业界领先水平Python00
- GGLM-4.5-AirGLM-4.5 系列模型是专为智能体设计的基础模型。GLM-4.5拥有 3550 亿总参数量,其中 320 亿活跃参数;GLM-4.5-Air采用更紧凑的设计,拥有 1060 亿总参数量,其中 120 亿活跃参数。GLM-4.5模型统一了推理、编码和智能体能力,以满足智能体应用的复杂需求Jinja00
Yi-Coder
Yi Coder 编程模型,小而强大的编程助手HTML013
热门内容推荐
最新内容推荐
项目优选









