首页
/ Kyverno 1.14.0 版本发布:Kubernetes 策略管理的新里程碑

Kyverno 1.14.0 版本发布:Kubernetes 策略管理的新里程碑

2025-06-09 07:15:32作者:管翌锬

项目简介

Kyverno 是一个专为 Kubernetes 设计的策略引擎,它允许管理员通过声明式的方式定义策略来管理集群资源。与传统的准入控制器不同,Kyverno 的策略使用 Kubernetes 原生 YAML 格式编写,无需学习新的语言或工具。它提供了验证、变更、生成和清理资源的能力,帮助组织实现安全合规、资源标准化和运维自动化。

1.14.0 版本核心特性解析

1. 全新策略类型支持

本次版本引入了三种革命性的新策略类型,显著扩展了 Kyverno 的能力边界:

ValidatingPolicy
这是一种基于 CEL(Common Expression Language)的验证策略,允许用户使用 Kubernetes 1.26+ 引入的原生验证准入策略功能。与传统的 Kyverno 验证规则相比,它能提供更高的性能,因为验证逻辑直接在 Kubernetes API 服务器中执行,无需额外的 webhook 调用。开发者现在可以编写如下的策略:

apiVersion: policies.kyverno.io/v1
kind: ValidatingPolicy
metadata:
  name: require-labels
spec:
  validationFailureAction: Audit
  rules:
  - name: check-labels
    match:
      any:
      - resources:
          kinds:
          - Pod
    validate:
      cel:
        expressions:
        - expression: "object.metadata.labels.hasKey('app')"
          message: "所有 Pod 必须包含 'app' 标签"

ImageValidatingPolicy
专为容器镜像验证设计的新策略类型,支持对镜像签名、安全检查结果等进行验证。这为 DevSecOps 流程提供了原生支持,例如:

apiVersion: policies.kyverno.io/v1
kind: ImageValidatingPolicy
metadata:
  name: check-image-sources
spec:
  validationFailureAction: Enforce
  rules:
  - name: only-approved-registries
    match:
      any:
      - resources:
          kinds:
          - Pod
    verifyImages:
    - imageReferences:
      - "*"
      attestors:
      - entries:
        - keys:
            publicKeys: |-
              -----BEGIN PUBLIC KEY-----
              ...
              -----END PUBLIC KEY-----

PolicyException 的 CEL 支持
现在可以使用 CEL 表达式定义更灵活的异常规则,使得策略例外管理更加精细化和动态化。

2. 性能优化与架构改进

JMESPath 缓存机制
通过引入 JMESPath 表达式的缓存机制,显著减少了策略评估时的计算开销。这对于频繁评估的复杂策略尤其有利,可降低 CPU 使用率高达 30%。

全局上下文条目优化
减少了不必要的 JSON 序列化/反序列化操作,在处理大型配置数据时内存占用降低明显。

证书管理改进
优化了证书续订流程,确保在证书轮换时更可靠地清理旧 CA 证书,避免潜在的连接问题。

3. 开发者体验提升

CLI 工具增强
新增了多个实用命令和标志:

  • permission 命令可快速生成所需的 ClusterRole 和 ClusterRoleBinding
  • 测试命令支持 --required-tests 标志,确保关键测试用例通过
  • 文档生成支持 Markdown 链接格式,便于知识库建设

自动生成机制
对于 Pod 控制器的自动生成实现进行了全面增强,处理边缘案例更可靠,特别是针对 StatefulSet 和 DaemonSet 等复杂控制器。

4. 安全增强

安全问题修复
解决了多个安全问题,包括:

  • 修复了可能绕过使用命名空间选择器的策略规则的问题
  • 通过升级到 Go 1.23.8 解决了相关依赖的安全问题

Pod 安全准入更新
同步至 Kubernetes v1.32.3 的 Pod 安全标准,确保与最新安全实践保持一致。

技术深度解析

ValidatingPolicy 的工作原理

当 Kyverno 创建 ValidatingPolicy 时,实际上会在背后生成 Kubernetes 原生的 ValidatingAdmissionPolicy 资源。这种架构带来了几个关键优势:

  1. 性能提升:验证逻辑直接在 kube-apiserver 中执行,消除了网络延迟
  2. 资源效率:减少了 Kyverno 控制器的计算负担
  3. 一致性保证:即使 Kyverno 控制器暂时不可用,策略仍能执行

镜像验证的技术实现

新的 ImageValidatingPolicy 整合了多种验证技术:

  • 基于 sigstore 的 cosign 签名验证
  • 安全检查结果验证(可与 Trivy、Grype 等工具集成)
  • 镜像来源验证(registry 白名单)

验证过程发生在准入阶段,确保不符合安全要求的镜像无法进入集群。

升级建议与最佳实践

对于计划升级到 1.14.0 版本的用户,建议:

  1. 分阶段部署
    先在小范围测试新策略类型,特别是生产环境关键工作负载。

  2. 策略迁移策略
    逐步将现有验证策略转换为 ValidatingPolicy 类型,可从审计模式开始:

    validationFailureAction: Audit
    

    确认效果后再切换为强制执行模式。

  3. 资源监控
    升级后密切监控 API 服务器和 Kyverno 控制器的资源使用情况,新特性可能改变负载模式。

  4. 异常管理
    利用新的 CEL 异常规则重构现有例外,使其更加精确和可维护。

未来展望

1.14.0 版本奠定了 Kyverno 作为多策略引擎的基础架构。展望未来,我们预期将看到:

  • 更多策略类型支持,如网络策略自动化
  • 与 OPA/Gatekeeper 的更深度集成方案
  • 策略依赖管理和版本控制功能
  • 增强的策略模拟和影响分析工具

这个版本标志着 Kyverno 从单纯的准入控制器向全面的 Kubernetes 策略管理平台演进的重要一步。新引入的策略类型不仅扩展了功能范围,还通过性能优化和架构改进为大规模企业部署铺平了道路。

登录后查看全文
热门项目推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
262
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
863
511
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
259
300
kernelkernel
deepin linux kernel
C
22
5
cherry-studiocherry-studio
🍒 Cherry Studio 是一款支持多个 LLM 提供商的桌面客户端
TypeScript
596
57
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
398
371
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
332
1.08 K