治理缺口 KubeVirt 运行你的虚拟机。
KubeVirt 运行你的虚拟机。
谁来治理它们?
KubeVirt 解决了"在 Kubernetes 上运行 VM"。Shepherd 解决接下来的问题:谁能申请 VM、谁来审批、配额如何执行、审计追踪在哪里?
缺乏治理
- ⚠️任何人都能未经审批直接创建 VM
- ⚠️无法追溯谁在何时做了什么操作
- ⚠️资源蔓延和孤儿实例不断增长
- ⚠️受监管环境下的合规性缺口
- ⚠️商业解决方案带来的厂商锁定
使用 Shepherd
- ✅每个 VM 操作都有结构化审批流程
- ✅每次资源变更都有完整的审计追踪
- ✅有序的自助服务 —— 兼顾灵活性与管控
- ✅生产级 RBAC,支持环境维度权限隔离
- ✅无厂商锁定 —— 可运行在任意 Kubernetes 发行版上
Shepherd 对比
| 能力 | OpenShift Virtualization | Shepherd |
|---|---|---|
| 多集群管理 | 需要 RHACM | ✔ 原生支持 |
| 审批流程 | ✔ | ✔ 内置 |
| 自助服务门户 | 运维驱动 | ✔ 申请 → 审批 → 交付 |
| 审计追踪 | OpenShift 集成 | ✔ 平台原生 |
| 厂商锁定 | 强(OpenShift) | 无 |
核心能力
生产级治理能力
每项能力在平台管控与用户自主之间取得平衡 —— 满足合规要求的同时,不影响日常操作效率。
审批流程
为每个 VM 生命周期操作(创建、修改、启动、停止、删除)提供结构化的请求和多级审批。
双层 RBAC
平台级 RBAC 管控全局能力,System 成员关系向下继承到 Service 和 VM,支持环境维度权限隔离。
完整审计追踪
每次资源变更都有完整的操作记录。清楚知道谁在何时做了什么、为什么 —— 从第一天起就满足合规要求。
多集群管理
跨多个 Kubernetes 集群的统一管理面板,无需像 RHACM 这样的额外组件。
VM 控制台访问
VNC 和串行控制台访问,具有审批感知的入口。直接在浏览器中操作受管虚拟机的控制台。
国际化
开箱即用的中英文界面,可扩展支持更多语言。认证插件 SDK 支持 LDAP、OIDC 和自定义提供者。
技术架构
工程方法论
契约优先的 API 设计、声明式 Schema 迁移,通过架构决策记录(ADR)实现结构化的技术选型治理。
Web UIReact 19 · Next.js 16
▼ REST / WebSocket
Go 后端Gin · Ent ORM · River Queue
▼
PostgreSQL 18单一数据存储
KubeVirt 集群client-go · 多集群
01
契约优先 API
OpenAPI 规范驱动代码生成、文档和客户端 SDK。
02
PostgreSQL 单存储
无 Redis、无外部消息队列。最小化运维复杂度。
03
ADR 治理
53 份架构决策记录,包含完整的上下文和决策理由。
04
CI 门禁执行
Lint、测试、类型检查、构建 —— 全部强制执行,不可绕过。
快速开始
三种方式体验 Shepherd
从在线演示到完全自托管部署 —— 选择适合你的方式。
开源社区
公开透明地构建
Shepherd 采用 Apache 2.0 协议,在开放环境中开发。我们遵循社区最佳实践,具备透明的治理机制、架构决策记录和强制执行的 CI 流水线以确保代码质量。
我们欢迎所有形式的反馈 —— Bug 报告、功能建议、使用故事和治理想法。您的反馈将直接影响项目方向。