Rancher 社区双周报｜聚焦 Harvester 新特性：网络、存储与虚拟化全面升级

本期 Rancher 社区双周报 为大家带来 Harvester、Rancher、K3K 的最新产品动态。
Harvester v1.6.0 作为一次重要的大版本更新，引入了实验性的 Kube-OVN 网络功能，并在存储、虚拟机管理、迁移与监控等方面带来企业级增强；Rancher 在 v2.10.9、v2.11.5 与 v2.12.1 三个补丁版本中重点修复了安全问题，进一步提升了数据保护与 API 稳健性；而 K3K v0.3.4 则聚焦稳定性与开发者体验，持续完善虚拟集群与宿主集群的互操作性。

通过本期更新，大家可以更直观地了解 Rancher 及生态组件的演进方向，为后续的规划和使用提供参考。

Harvester

Harvester 团队近期发布了 v1.6.0，该版本带来了大量新特性、增强和 Bug 修复，进一步提升了系统质量与用户体验。文档详见 官方文档。

本次更新的最大亮点是引入 Kube-OVN 网络能力（实验性），使 Harvester 拥有更丰富的虚拟化网络功能，同时增强了存储、迁移、扩容等多方面的能力。

主要更新亮点

实验性功能（基于 Kube-OVN）

• Kube-OVN Operator
  引入 kubeovn-operator 插件，可在 Harvester 集群中部署 Kube-OVN 作为二级 CNI，提供 VPC、子网等高级 SDN 能力。

• Overlay 网络
  基于 Kube-OVN 构建虚拟二层交换机，实现虚拟机间流量的封装与转发，支持 VPC 和子网划分。

• VPC（虚拟私有云）
  提供默认 VPC（ovn-cluster），并支持用户自定义 VPC。Kube-OVN 负责 L3 网络逻辑（路由、NAT、VPC Peering、隔离），Harvester 负责虚拟化和 VM 接入。

• VPC 网络连通性

  • 子网启用 natOutgoing 后，虚拟机可访问外部网络。
  • 支持不同 VPC 之间通过 VPC Peering 实现互通（不支持默认 VPC 与自定义 VPC 建立 Peering）。

• 虚拟机隔离
  支持通过子网 ACL 和 Kubernetes 网络策略实现微分段，提升虚拟机间的安全隔离。

注意：Harvester v1.6.0 中基于 Kube-OVN 的实现仍为实验性，不支持升级、VM 热迁移及 Guest Cluster 的 Node Driver。

完全支持的功能增强

• Harvester UI 设置 CDI
  在 Harvester UI 中即可配置 Containerized Data Importer（CDI）参数，无需直接修改底层存储配置，降低风险。

• CPU 与内存热插拔
  虚拟机运行时可动态增加 CPU 和内存资源，Harvester 会自动迁移 VM 到合适节点。

• 实时迁移进度监控
  在 UI 的 Migration 标签页可查看 VM 迁移的实时进度（剩余数据、内存传输速率等），需启用 rancher-monitoring 插件。

• 在线卷扩容
  支持对运行中 VM 或 Pod 使用的卷进行扩容：

  • Longhorn V1 引擎完全支持
  • Longhorn V2 暂不支持
  • 第三方存储默认阻止扩容，需通过 csi-online-expand-validation 配置启用

• 第三方存储增强

  • VM 可使用第三方存储作为根盘/数据盘
  • Guest Cluster 与工作负载可直接基于第三方存储创建 PVC

• VM Import 控制器增强
  支持在虚拟机镜像导入时指定第三方存储，避免依赖 Longhorn 默认存储。

• VM 迁移网络
  支持为 VM 热迁移配置独立的迁移网络，避免与集群流量共享带宽，提高迁移效率。

Harvester v1.6.0 是一次重要的功能性版本，网络层引入了实验性的 Kube-OVN 支持，为未来的 SDN 能力扩展奠定基础；同时在 存储、虚拟机资源管理、迁移与监控 等方面带来了 企业级的增强。

这意味着 Harvester 不仅在 HCI 基础能力 上更稳健，同时也在 虚拟化网络 和 多存储生态 方面迈出了关键一步。

如需详细了解各版本的更新内容，请查阅：

• Harvester v1.6.0 发布说明

Rancher

近期，Rancher 发布了 v2.10.9、v2.11.5 和 v2.12.1 三个补丁版本。此次更新主要聚焦于 安全修复，同时包含部分维护更新和 Bug 修复。其中 v2.10.9 和 v2.11.5 为 Prime 版本，v2.12.1 为 Community 和 Prime 版本。

安全修复

• API 请求体大小限制
  Rancher API 端点的 POST 请求体大小现已默认限制为 1 MiB，以增强安全性。若需更大限制，可通过设置 CATTLE_AUTH_API_BODY_LIMIT 环境变量调整。认证端点与主 API 独立配置，便于灵活控制。
  （参考 CVE-2024-58259）

• Helm values 文件安全增强
  先前版本中，fleet.yaml 中若使用目录前缀方式引用 values.yaml（如 my-dir/values.yaml），可能导致敏感数据被包含在 bundle 资源中。本次更新已统一修复，所有 values.yaml 文件均会被正确排除，避免信息泄露。
  （参考 CVE-2023-32198）

这些修复在 v2.10.9、v2.11.5 和 v2.12.1 中均已生效，提升了 Rancher 在数据保护与 API 安全方面的稳健性。

如需详细了解各版本的更新内容，请查阅：

• Rancher v2.10.9 发布说明
• Rancher v2.11.5 发布说明
• Rancher v2.12.1 发布说明

K3K

k3k 团队发布了 v0.3.4 版本，本次更新重点在于 稳定性提升、开发工具链改进以及功能增强，同时优化了虚拟集群与宿主集群之间的兼容性。

主要更新

• 集群调度与控制

  • 新增 PriorityClass Reconciler，支持虚拟集群与宿主集群间的 PriorityClass 同步。
  • 增加 maxConcurrentReconcilers 配置，用户可灵活控制并发度。
  • 为 Cluster 对象增加 Conditions 和状态信息，方便排错与监控。
  • 优化 Cluster Status 中策略恢复逻辑。

• 虚拟集群功能增强

  • 支持在虚拟集群中使用 自定义证书。
  • 修复生成的 kubeconfig secret 中的 Service 端口配置。
  • 支持同步宿主机节点到虚拟集群（mirror host nodes）。

• 工具链与 CLI 改进

  • k3k CLI 从 urfave/cli 迁移到 Cobra 框架，命令行工具更标准化和可扩展。
  • 增加 custom-certs CLI 参数支持，提升配置灵活性。
  • 修复 PortAllocator 初始化问题。

k3k v0.3.4 聚焦于 可靠性和开发者体验的提升：

• 在功能层面，增强了虚拟集群与宿主集群的互操作性（如 PriorityClass、节点镜像、自定义证书）。
• 在运维和调试层面，提供了更直观的集群状态监控和 CLI 改进。
• 在研发效率上，持续优化 CI/CD 流程和代码质量工具链。

这一版本为未来的虚拟集群扩展和生产级应用奠定了更加稳固的基础。

写在最后

以上就是本期 Rancher 社区双周报 的主要内容。无论是 Harvester 的网络与存储能力增强，Rancher 的安全修复，还是 K3K 的稳定性提升，都体现了社区在持续完善产品、提升用户体验方面的努力。

我们期待大家在使用过程中的反馈与建议，也欢迎积极参与到社区讨论与贡献中来。更多详细的更新说明可通过文中链接查看官方发布内容。