Kyverno graduated: wat CNCF top-level status betekent voor Kubernetes-beleid

Kyverno is op KubeCon EU Amsterdam gepromoveerd naar CNCF graduated-status. Met 9.000+ GitHub-sterren en adopters als LinkedIn, Bloomberg en Deutsche Telekom staat het project nu naast Kubernetes en Prometheus. Dit is wat graduatie concreet betekent voor teams die policy-as-code evalueren.

Kyverno is op 24 maart 2026 gepromoveerd naar CNCF graduated-status, aangekondigd op de openingsdag van KubeCon EU in Amsterdam. Dat plaatst het project in hetzelfde rijtje als Kubernetes, Prometheus, Envoy en Helm: de hoogste volwassenheidstier binnen de CNCF. Zo'n 35 projecten dragen die status. Voor teams die policy-as-code evalueren verschuift de vraag: niet meer "is dit project volwassen genoeg?", maar "past het in mijn stack?"

TL;DR

  • Kyverno bereikte CNCF graduated-status op KubeCon EU Amsterdam (24 maart 2026) en voegt zich bij ~35 projecten in de hoogste volwassenheidstier.
  • Graduatie vereist een onafhankelijke security-audit, committers uit meerdere organisaties en bewezen productie-adoptie op schaal.
  • LinkedIn draait Kyverno met 20.000+ admission requests per minuut over 230+ clusters. Bloomberg, Deutsche Telekom en Coinbase zijn bevestigde adopters.
  • Versie 1.17 promoveert CEL-gebaseerde policy types naar GA en depreceert de legacy ClusterPolicy API. Verwijdering is gepland voor oktober 2026.

Wat graduatie concreet betekent

CNCF-graduatie is geen feature release. Het is een volwassenheidstoets. De criteria eisen committers uit meerdere organisaties (niet gedomineerd door één bedrijf), een gepubliceerde onafhankelijke security-audit waarin alle kritieke bevindingen zijn opgelost, een OpenSSF Best Practices Badge, expliciete governance-documentatie en aantoonbare productie-adoptie.

Kyverno's maintainers komen uit zes organisaties, waaronder Nirmata, Chainguard en Cloudflare. De contributorbasis groeide naar 3.624 mensen uit 1.063 organisaties. Het project kwam in november 2020 als sandbox-project in de CNCF, werd incubating in juli 2022 en gradueerde na bijna vier jaar incubatie.

De praktische conclusie: het project heeft bewezen dat het niet van één organisatie afhankelijk is. Als Nirmata morgen verdwijnt, draait Kyverno gewoon door.

Adoptie op schaal

De cijfers zijn concreet. LinkedIn verwerkt 20.000+ admission requests per minuut via Kyverno, over 230+ clusters met meer dan 500.000 nodes. Het ADOPTERS.md-bestand telt 50+ organisaties: Bloomberg, Coinbase, Deutsche Telekom, Spotify, Vodafone, het US Department of Defense Platform One en Red Hat.

De releasesnelheid bevestigt het beeld. Versie 1.17 verscheen in februari 2026 met 850+ wijzigingen van 70+ contributors. Architectureel is die release een breekpunt: CEL-gebaseerde policy types (ValidatingPolicy, MutatingPolicy, GeneratingPolicy, ImageValidatingPolicy) zijn gepromoveerd naar v1 GA. De legacy ClusterPolicy API is deprecated, met verwijdering gepland voor v1.20 in oktober 2026.

Die deprecatie is niet iets om op de lange baan te schuiven. Draai je Kyverno in productie met de oude API? Begin nu met plannen.

Waar Kyverno past in 2026

Drie policy-as-code-benaderingen bestaan nu naast elkaar in Kubernetes.

Kyverno dekt de volledige levenscyclus: valideren, muteren, genereren, images verifiëren en policies testen in CI-pipelines. Policies zijn Kubernetes YAML. Sinds v1.17 is CEL de primaire expressietaal.

OPA Gatekeeper gebruikt Rego en werkt ook buiten Kubernetes (Terraform, API-autorisatie). Dat maakt het de logische keuze als je cross-platform policy nodig hebt. Beide projecten zijn nu CNCF graduated. Gatekeeper v3.22.0 verscheen in maart 2026, dus actieve ontwikkeling loopt aan beide kanten door.

Kubernetes-native ValidatingAdmissionPolicy is GA sinds Kubernetes 1.30. Het draait in-process in de API-server, geen webhook-overhead. De trade-off: alleen validatie. Geen mutatie, geen generatie, geen imageverificatie, geen scan van bestaande resources. De CNCF noemt Kyverno en native policies complementair in plaats van concurrerend.

Wat er komt

Het graduatie-persbericht geeft een richting aan: toekomstige releases breiden policy-enforcement uit naar AI-workloads en Model Context Protocol-gateways. Dat is roadmap, geen beschikbare code. Maar de richting past bij wat Kubermatic op KubeCon noteerde: policy engines zijn niet meer optioneel in een CRA-wereld, met de verplichte vulnerability-rapportagetermijn van de EU Cyber Resilience Act in september 2026.

Vorig jaar schreef ik over Kyverno's generate-regels voor namespace-bootstrapping met de ClusterPolicy API. Die patronen werken nog steeds, maar de policydefinities moeten voor v1.20 gemigreerd worden naar CEL-gebaseerde types. Gebruik je Kyverno voor multi-tenant governance? Dezelfde migratie geldt daar.

Key takeaways

  • CNCF-graduatie staat voor volwassenheid, governance-onafhankelijkheid en langetermijnstabiliteit. Kyverno draagt nu dezelfde commitment als Kubernetes en Prometheus.
  • De v1.17-verschuiving naar CEL-gebaseerde policy types is de grootste architectuurwijziging in de geschiedenis van het project. Plan de migratie vanaf ClusterPolicy voor oktober 2026.
  • Kyverno past als je mutatie, generatie, imageverificatie of CI-pipelinetests nodig hebt in een Kubernetes-native pakket. OPA Gatekeeper past bij cross-platform needs. Native ValidatingAdmissionPolicy past bij simpele, high-throughput validatie.
  • De AI-workload en MCP-gateway richting is voorlopig alleen roadmap. Wacht op concrete implementaties voordat je er plannen op bouwt.

Terugkerende server- of deploymentproblemen?

Ik help teams productie betrouwbaar maken met CI/CD, Kubernetes en cloud—zodat fixes blijven en deploys geen stress meer zijn.

Bekijk DevOps consultancy

Gerelateerde artikelen

  1. Kubernetes-namespaces automatisch opzetten met Kyverno

    Beheer je een Kubernetes-cluster met meerdere applicaties of tenants, dan ken je waarschijnlijk het herhalende werk van het instellen van elke namespace met de juiste standaardconfiguraties. Denk aan netwerkisolatie, image pull-credentials en aangepaste certificaten. Essentiële maar monotone taken. Kyverno is niet alleen een policy enforcement engine, maar ook een hulpmiddel om deze resources op een declaratieve en geautomatiseerde manier op te zetten.

    1013 woorden
  2. User namespaces stabiel in Kubernetes 1.36: pod-isolatie zonder gVisor

    Kubernetes 1.36 promoveert user namespaces naar stable. Een proces dat als root draait in een pod wordt op de host gemapt naar een onbevoegde UID, waardoor de impact van container-escapes beperkt blijft zonder de compatibiliteits- en prestatiekosten van gVisor of Kata Containers.

    1457 woorden
  3. Kubernetes multi-tenant governance: beheer van multi-tenant Kubernetes clusters

    De meeste Kubernetes clusters die 'multi-tenant' heten zijn eigenlijk hygiëne-multi-tenancy. Dit veldboek zet de vertrouwenstiers uit elkaar, laat zien wat namespaces je wel en niet geven, en vertelt wanneer je naar gesandboxte runtimes, virtual clusters of losse clusters moet grijpen in plaats van nog meer YAML.

    3717 woorden

Begin met typen om te zoeken, of blader door de kennisbank en blog.