Kube-OVN v1.15 正式上线!本次版本围绕网络策略、IP 地址管理、底层性能表现以及运维工具链等多个方向进行了深度优化与功能拓展,致力于打造更健壮、更智能、更易维护的云原生网络基础设施。
核心更新亮点
1. IPPool 管理能力全面升级
- 命名空间多 IPPool 绑定:支持将多个 IPPool 同时关联至单个 Namespace,实现 IP 分配策略的精细化与高可用性。
- 地址分配精准化:绑定后,该 Namespace 下的 Pod 仅从指定 IPPool 中获取 IP,不再占用子网中其他未绑定范围的地址,提升资源可视性与可控性。
- 策略协同增强:IPPool 自动创建 AddressSet,可无缝对接 VPC 级策略路由与 ACL 规则,强化网络访问控制的粒度与准确性。
2. VPC NAT Gateway 功能持续进化
- 无默认 EIP 初始化模式:子接口启动时无需预设 EIP,避免闲置公网 IP 占用,更契合真实业务部署逻辑。
- 自定义内核路由支持:用户可在 vpc-nat-gateway Pod 内自由配置静态或动态路由,灵活调度南北向流量路径。
- 免费 ARP 自动广播:网关就绪阶段自动发送 Gratuitous ARP,加快 ARP 表同步,缩短服务中断时间,增强整体可用性。
3. Underlay 网络运维迈向自动化
- ProviderNetwork 节点选择器:新增节点标签筛选机制,告别手动逐台配置 ProviderNetwork 接口,大幅提升超大规模集群的网络部署效率。
- VLAN 子接口智能编排:允许多个 NetworkProvider 复用同一 VLAN ID;系统自动完成 VLAN 子接口创建及迁移至 OVS 网桥的操作,显著降低人工干预成本。
4. 性能与稳定性双重加固
- Conntrack 路径绕过机制:针对特定目的 CIDR 的流量,支持跳过连接跟踪处理,减少关键链路延迟,提升吞吐表现。
- ARP 驱动的网络就绪检测:IPv4 场景下采用 ARP 探测替代传统 ACL 放行方式,无需额外开通网关 ACL 即可保障 Pod 正常通信。
- NetworkAttachment 缓存机制:在 Multus 多网络场景中引入缓存层,有效缓解 APIServer 查询压力,提升控制器响应速度。
5. 网络安全策略能力再进阶
- 宽松模式 NetworkPolicy(lax):新增 lax 模式,在默认拒绝 TCP/UDP/SCTP 流量的同时,始终放行 ARP、ICMP 和 DHCP 报文,兼顾基础网络连通性与策略安全性。
- AdminNetworkPolicy 扩展支持:支持通过 FQDN 定义出口目标对等体,使企业级网络策略制定更具语义表达力和适配弹性。
- ACL 日志限速机制:为 ACL 日志输出增加速率控制能力,防止突发日志洪泛冲击日志系统稳定性。
6. 多样化部署场景全面覆盖
- 非主 CNI 运行模式:Kube-OVN 可作为辅助网络插件运行,兼容主 CNI 非 Kube-OVN 的混合网络架构。
- Overlay 封装物理网卡指定:支持显式指定用于 VXLAN/Geneve 封装的底层物理网卡,满足多网卡服务器环境下的定向流量调度需求。
- 集中式子网网关节点亲和性支持:为子网网关组件添加节点选择器能力,提高部署灵活性与容错可靠性。
7. IPSec 证书生命周期智能化管理
- cert-manager 深度集成:原生支持 cert-manager 实现证书签发、轮换与吊销全流程自动化。
- 证书失效自动续签:当检测到当前证书不可信或即将过期时,自动触发新证书申请流程,确保隧道连接持续稳定。
8. 运维利器 kubectl-ko 全面焕新
- IPSec/xFRM 信息采集:新增对 IPSec SA/SP 及 xFRM 策略状态的诊断能力,助力快速定位加密隧道异常。
- EndpointSlice 原生兼容:全面切换至 EndpointSlice 对象进行服务端点管理,保持与 Kubernetes 主干版本特性同步演进。
9. 底层依赖全面升级
- OVS 升级至 3.5 版本,OVN 升级至 25.03 版本,带来更丰富的协议支持、更高的转发性能以及多项关键安全补丁。
其他优化与修复
- 清理已废弃的内部端口类型接口代码,精简核心模块结构。
- 新增对 “SwitchLBRule 静态端点健康检查” 的完整支持。
- 在网络接口监控指标中加入
pod_name与pod_namespace标签,实现更细粒度的服务级可观测性。 - 包含多项稳定性改进与缺陷修复,全面提升生产环境鲁棒性。
源码地址:点击下载
