治理优先的 KubeVirt 虚拟机管理平台

KubeVirt Shepherd，也可称为 kv-shepherd 或 kubevirt-shepherd，是一个治理优先的开源 KubeVirt 虚拟机管理平台。它在 Kubernetes 上提供自助式 VM 生命周期管理，内置结构化审批流程、双层 RBAC、环境作用域的角色绑定以及完整的审计追踪，支持跨多个 Kubernetes/KubeVirt 集群。项目采用 Apache 2.0 协议发布：https://github.com/kv-shepherd/shepherd。

KubeVirt 提供的是「在 Kubernetes 上运行虚拟机」这一核心能力。Shepherd 关注的是这些 VM 周边的运营模型：谁可以申请、谁来审批变更、平台权限如何执行、哪些集群可用、审计追踪在哪里。Shepherd 不取代 KubeVirt，而是补齐让 KubeVirt 可以在受监管的多团队环境中运行所需的治理层。

对于希望获得 VM 治理能力但不想被某个商业平台栈绑定的团队来说，是的。Shepherd 原生支持多集群管理（无需 RHACM）、内置审批流程、申请-审批-交付的自助服务门户、平台原生审计追踪，且不存在厂商锁定。它采用 Apache 2.0 协议发布，可运行在任意符合 KubeVirt 与 Kubernetes 兼容性基线的 Kubernetes 发行版上。

Shepherd 当前处于 Alpha 阶段（当前已发布预览版本：v0.1.1-alpha.8）。核心治理路径 —— 审批流程、RBAC、审计追踪和 VM 生命周期管理 —— 已经在金融服务行业的 Kubernetes/KubeVirt 环境中通过内部生产使用得到验证。Alpha 标签是为了在更广泛的 KubeVirt 版本、存储类、认证提供者和组织运营模式下收集外部反馈，是有意保守的标记。

你可以访问在线演示 https://demo.kv-shepherd.io，无需任何安装。如需自托管部署，官方支持四种部署方式：（1）Helm Chart，面向 Kubernetes 原生安装（推荐方式，Chart 仓库为 kv-shepherd/helm-charts）；（2）Docker Compose，使用 GHCR 已发布镜像，适用于 VPS 或生产主机；（3）通过 ./start-dev.sh 从源码进行本地开发；（4）Docker Compose 源码构建模式，适用于需要在主机上从检出代码构建镜像的场景。详见 docs/DEPLOYMENT.md 中的完整部署指南与安全检查清单。

Shepherd 将审批流程和审计追踪应用于完整的 VM 生命周期：创建、修改、电源管理（启动 / 停止 / 重启）、删除、清单导出，以及 VNC / 串行控制台入口。管理员目录涵盖集群、命名空间、模板、实例规格、认证提供者、限流策略、角色与用户。

Shepherd 后端采用 Go（Gin、Ent 与 sqlc 混合持久化、基于 PostgreSQL 的 River 队列实现原生异步执行），存储仅使用 PostgreSQL 18（无 Redis、无外部消息队列），前端采用 React 19 + Next.js 16。KubeVirt Provider 与 KubeVirt v1.8.x、Kubernetes v1.34.x 对齐。从源码构建需 Go 1.25.10 及以上、Node.js 22 及以上。

Shepherd 提供 Auth Provider Plugin SDK，原生支持 LDAP、OIDC 以及自定义认证集成。会话、登录路由与信任边界被作为一等安全关注点持续加固 —— 详见 CHANGELOG 中 auth 与 security 类别的更新记录。

是的。KubeVirt Shepherd 采用 Apache License 2.0 协议发布，在 GitHub 上公开开发：https://github.com/kv-shepherd/shepherd。没有付费版本，也不存在厂商锁定。社区交流渠道包括 Discord（https://discord.gg/9P2wtpPMUe）、GitHub Issues 和 GitHub Discussions。