Kubernetes 中 CEL 積體指南

引言

Kubernetes 作為現代雲原生應用的核心基礎架構，其功能持續擴展以滿足複雜的資源管理需求。Common Expression Language（CEL）作為一種輕量級且功能強大的表達語言，已逐步融入 Kubernetes 的核心生態系統。本文將深入探討 CEL 在 Kubernetes 中的應用場景、技術原理與整合實踐，幫助開發者理解其價值與實現方式。

技術或工具的定義與基本概念

CEL（Common Expression Language） 是由 Google 開發的類 C 語法語言，專為條件判斷與資料結構操作設計。其核心特性包括：

• 支援條件語句（如 if-else）
• 提供陣列操作（如 array.filter、array.map）
• 內建時間戳計算（如 duration 函數）
• 與 Kubernetes 資源深度整合，支援 CRD 驗證、准入控制等場景

CEL 的語法簡潔且靈活，例如 name starts with "a" 可檢查字串是否以 'a' 開頭，array contains "message" 可判斷陣列是否包含特定元素。這些特性使其成為 Kubernetes 中處理複雜邏輯的首選工具。

重要的特性與功能

性能與可擴展性

CEL 的編譯執行模型（將表達式轉換為抽象語法樹 AST）確保了高效評估，同時其類型檢查機制在編譯階段即排除語法錯誤，提升系統穩定性。Kubernetes 對 CEL 的整合進一步擴展了其應用範疇，例如：

• CRD 驗證：在 spec.validation 中定義 CEL 表達式，拒絕不符合條件的資源。
• 准入控制：支援 ValidatingAdmissionPolicy 與 MutatingAdmissionPolicy，實現動態資源修改。
• 類型擴展：新增 Kubernetes 特定類型（如 IP、CIDR、URL），提升表達式與資源的語義一致性。

使用場景

CEL 的應用場景涵蓋 Kubernetes 的多個核心模組，例如：

• 資源標籤：根據資源屬性動態生成標籤。
• 策略執行：在准入控制中根據條件拒絕或修改資源。
• CRD 額外打印列：透過 expression 字段解決 JSON Path 的限制，支援條件判斷與陣列操作。

實際應用案例

CRD 範例：shirt 自訂資源

假設定義一個 shirt 自訂資源，包含 color（字串）與 sizes（整數陣列）字段。透過 CEL 表達式，可實現以下功能：

1. 條件判斷：color == "blue" 返回布林值。
2. 陣列操作：sizes.exists() 判斷陣列是否存在，sizes.length() 獲取陣列長度。
3. 預設值設定：sizes.default([]) 當字段不存在時返回空陣列。

實際執行結果

• 第三筆資源因無 sizes 陣列，判斷結果為 false。
• 第四筆資源因 color 為 blue，判斷結果為 true。

技術細節與實現

CEL 執行流程

1. 環境建立：定義變數與上下文，例如 name: "Alice"。
2. 編譯：將 CEL 表達式轉換為 AST，例如 expr := "name starts with 'a'"。
3. 執行：評估 AST 並返回結果，例如 program.Eval(map[string]interface{}{...})。

Go 程式碼示例

import "github.com/google/cel-go/cel"
env := cel.EnvIRONMENT.New()
expr := "name starts with 'a'"
program, issues := env.Compile(expr)
result := program.Eval(map[string]interface{}{"name": "Alice"})

錯誤處理

CEL 在編譯階段即進行語法與類型檢查，確保表達式正確性。例如，若 name 字段不存在，將觸發錯誤並拒絕評估。

關鍵技術整合與發展歷程

KE-2876：CEL 首次引入 Kubernetes

• 目標：解決 CRD 驗證中複雜條件的處理需求。
• 實現：在 spec.validation 中定義 CEL 表達式，拒絕不符合條件的資源。

KE-3962：支援 MutatingAdmissionPolicy

• 目標：允許動態修改資源，例如根據條件更新標籤。
• 實現：新增 CEL 表達式支援，並擴展類型系統以處理 IP、CIDR 等資料類型。

KE-4595：CRD 額外打印列

• 問題：JSON Path 無法處理條件判斷與陣列操作。
• 解決方案：新增 expression 字段，與 JSON Path 並列，支援 CEL 表達式。
• 示例：

spec:
  validation:
    openAPIV3Schema:
      properties:
        status:
          type: object
          properties:
            duration:
              type: string
              expression: "timestamp - creationTimestamp"

優勢與挑戰

優勢

• 靈活性：CEL 的條件與陣列操作能力解決 JSON Path 的限制。
• 效率：編譯執行模型確保評估效能，適合高吞吐量場景。
• 可擴展性：Kubernetes 透過 KEPs 持續擴展 CEL 功能，例如新增 IP、CIDR 類型。

挑戰

• 學習曲線：開發者需熟悉 CEL 語法與 Kubernetes 集成機制。
• 錯誤處理：需處理字段不存在、類型不匹配等異常情況。
• 資源消耗：編譯與執行 CEL 表達式可能增加 API Server 的 CPU 使用率。

總結

CEL 在 Kubernetes 中的整合體現了其作為現代雲原生工具的價值。透過 CRD 驗證、准入控制與 CRD 額外打印列等功能，CEL 解決了傳統 JSON Path 的限制，並提升系統的靈活性與可擴展性。開發者應根據需求選擇 CEL 或 JSON Path，並善用其條件判斷與陣列操作能力。未來，隨著更多 KEPs 的落地，CEL 將進一步深化與 Kubernetes 的整合，成為雲原生生態中不可或缺的工具。