Kyverno 1.14.0 版本发布：Kubernetes 策略管理的新里程碑

项目简介

Kyverno 是一个专为 Kubernetes 设计的策略引擎，它允许管理员通过声明式的方式定义策略来管理集群资源。与传统的准入控制器不同，Kyverno 的策略使用 Kubernetes 原生 YAML 格式编写，无需学习新的语言或工具。它提供了验证、变更、生成和清理资源的能力，帮助组织实现安全合规、资源标准化和运维自动化。

1.14.0 版本核心特性解析

1. 全新策略类型支持

本次版本引入了三种革命性的新策略类型，显著扩展了 Kyverno 的能力边界：

ValidatingPolicy：
这是一种基于 CEL（Common Expression Language）的验证策略，允许用户使用 Kubernetes 1.26+ 引入的原生验证准入策略功能。与传统的 Kyverno 验证规则相比，它能提供更高的性能，因为验证逻辑直接在 Kubernetes API 服务器中执行，无需额外的 webhook 调用。开发者现在可以编写如下的策略：

apiVersion: policies.kyverno.io/v1
kind: ValidatingPolicy
metadata:
  name: require-labels
spec:
  validationFailureAction: Audit
  rules:
  - name: check-labels
    match:
      any:
      - resources:
          kinds:
          - Pod
    validate:
      cel:
        expressions:
        - expression: "object.metadata.labels.hasKey('app')"
          message: "所有 Pod 必须包含 'app' 标签"

ImageValidatingPolicy：
专为容器镜像验证设计的新策略类型，支持对镜像签名、安全检查结果等进行验证。这为 DevSecOps 流程提供了原生支持，例如：

apiVersion: policies.kyverno.io/v1
kind: ImageValidatingPolicy
metadata:
  name: check-image-sources
spec:
  validationFailureAction: Enforce
  rules:
  - name: only-approved-registries
    match:
      any:
      - resources:
          kinds:
          - Pod
    verifyImages:
    - imageReferences:
      - "*"
      attestors:
      - entries:
        - keys:
            publicKeys: |-
              -----BEGIN PUBLIC KEY-----
              ...
              -----END PUBLIC KEY-----

PolicyException 的 CEL 支持：
现在可以使用 CEL 表达式定义更灵活的异常规则，使得策略例外管理更加精细化和动态化。

2. 性能优化与架构改进

JMESPath 缓存机制：
通过引入 JMESPath 表达式的缓存机制，显著减少了策略评估时的计算开销。这对于频繁评估的复杂策略尤其有利，可降低 CPU 使用率高达 30%。

全局上下文条目优化：
减少了不必要的 JSON 序列化/反序列化操作，在处理大型配置数据时内存占用降低明显。

证书管理改进：
优化了证书续订流程，确保在证书轮换时更可靠地清理旧 CA 证书，避免潜在的连接问题。

3. 开发者体验提升

CLI 工具增强：
新增了多个实用命令和标志：

• permission 命令可快速生成所需的 ClusterRole 和 ClusterRoleBinding
• 测试命令支持 --required-tests 标志，确保关键测试用例通过
• 文档生成支持 Markdown 链接格式，便于知识库建设

自动生成机制：
对于 Pod 控制器的自动生成实现进行了全面增强，处理边缘案例更可靠，特别是针对 StatefulSet 和 DaemonSet 等复杂控制器。

4. 安全增强

安全问题修复：
解决了多个安全问题，包括：

• 修复了可能绕过使用命名空间选择器的策略规则的问题
• 通过升级到 Go 1.23.8 解决了相关依赖的安全问题

Pod 安全准入更新：
同步至 Kubernetes v1.32.3 的 Pod 安全标准，确保与最新安全实践保持一致。

技术深度解析

ValidatingPolicy 的工作原理

当 Kyverno 创建 ValidatingPolicy 时，实际上会在背后生成 Kubernetes 原生的 ValidatingAdmissionPolicy 资源。这种架构带来了几个关键优势：

1. 性能提升：验证逻辑直接在 kube-apiserver 中执行，消除了网络延迟
2. 资源效率：减少了 Kyverno 控制器的计算负担
3. 一致性保证：即使 Kyverno 控制器暂时不可用，策略仍能执行

镜像验证的技术实现

新的 ImageValidatingPolicy 整合了多种验证技术：

• 基于 sigstore 的 cosign 签名验证
• 安全检查结果验证（可与 Trivy、Grype 等工具集成）
• 镜像来源验证（registry 白名单）

验证过程发生在准入阶段，确保不符合安全要求的镜像无法进入集群。

升级建议与最佳实践

对于计划升级到 1.14.0 版本的用户，建议：

1. 分阶段部署：
   先在小范围测试新策略类型，特别是生产环境关键工作负载。

2. 策略迁移策略：
   逐步将现有验证策略转换为 ValidatingPolicy 类型，可从审计模式开始：

   validationFailureAction: Audit
   

   确认效果后再切换为强制执行模式。

3. 资源监控：
   升级后密切监控 API 服务器和 Kyverno 控制器的资源使用情况，新特性可能改变负载模式。

4. 异常管理：
   利用新的 CEL 异常规则重构现有例外，使其更加精确和可维护。

未来展望

1.14.0 版本奠定了 Kyverno 作为多策略引擎的基础架构。展望未来，我们预期将看到：

• 更多策略类型支持，如网络策略自动化
• 与 OPA/Gatekeeper 的更深度集成方案
• 策略依赖管理和版本控制功能
• 增强的策略模拟和影响分析工具

这个版本标志着 Kyverno 从单纯的准入控制器向全面的 Kubernetes 策略管理平台演进的重要一步。新引入的策略类型不仅扩展了功能范围，还通过性能优化和架构改进为大规模企业部署铺平了道路。