Shengxu · Cloud Architecture & Devops
Shengxu · Cloud Architecture & Devops

Helm 4 深度解析:不只是版本号 +1,而是 Kubernetes 原生时代的新起点

Shengxu included in Kubernetes DevOps
 About 300 words 2 minutes 

在基础设施领域,有些版本更新是“锦上添花”,而有些则是“脱胎换骨”。如果说 Helm 3 让我们告别了 Tiller 的噩梦,那么于 2025 年 11 月 正式发布的 Helm 4,则是 Helm 真正理解并融入 Kubernetes 声明式哲学的成人礼。

经过两个月的社区验证与官方文档沉淀,本文将基于 Helm 4 的实际发布状态,为您澄清那些容易被误解的技术细节。

作为 K8s 包管理的“事实标准”,Helm 4 在发布两个月后,我们终于可以在生产环境中冷静地审视它的价值。对于追求极致稳定的 Platform Engineer 工程师来说,Helm 4 最大的意义不在于功能堆砌,而在于它如何偿还了长久以来的技术债务

1. 核心变革:SSA 成为默认范式

Helm 3 用户最痛的点是什么?莫过于 kubectl applyhelm upgrade 之间的“神仙打架”。

以前,Helm 3 依赖客户端的 3-Way Strategic Merge Patch。这是一个在本地计算差异的黑盒逻辑,它经常无视集群中其他控制器(如 HPA、ArgoCD、Istio Injector)对资源的修改,导致配置漂移(Configuration Drift)或暴力覆盖。

Helm 4 彻底改变了这一点:它默认启用了 Kubernetes Server-Side Apply (SSA)。

为什么 SSA 是游戏规则改变者?

在 Helm 4 中,合并逻辑被移交给了 Kubernetes API Server。这带来了三个生产级的质变:

  1. 字段所有权(Field Ownership)的仲裁: Helm 不再试图在客户端“霸占”整个对象。API Server 会根据 managedFields 明确判定谁拥有哪个字段。如果 HPA 修改了 Deployment 的 replicas,或者 ArgoCD 修改了 image,只要 Helm Chart 没有强制冲突,API Server 就不会允许 Helm 覆盖它们。这让 GitOps 和自动扩缩容终于能和谐共存。

  2. 原子性与冲突检测: 不再有模棱两可的“部分更新”。SSA 操作是原子的,如果检测到字段所有权冲突(Conflict),API Server 会明确拒绝请求,而不是像以前那样默默覆盖导致事故。

  3. 更一致的 CRD 交付修正说明:虽然 SSA 并不能直接突破 K8s 对 metadata 注解大小的物理限制,但它通过服务端的合并逻辑,极大优化了大型 CRD(Custom Resource Definition)的更新一致性,减少了客户端计算 Patch 时因版本差异导致的莫名报错。

2. 架构升级:Wasm 插件与 OCI 标准化

除了 SSA,Helm 4 在扩展性和分发上也做了重大重构。

Wasm 插件系统

这是 Helm 4 的一大亮点。引入 WebAssembly (Wasm) 运行时后,插件不再需要以“不安全的本地二进制”形式存在。

  • 安全沙箱:插件在受限环境中运行,解决了“运行插件 = 给宿主机 Root 权限”的安全隐患。
  • 跨平台:一次编译,到处运行。

OCI:更标准的分发

虽然 HTTP Repo 依旧可用,但 OCI (Open Container Initiative) 已成为 Helm 4 增强且推荐的分发方式。

  • 统一存储:你的 Helm Chart 和 Docker 镜像住在同一个 Registry 里(Harbor, ECR, ACR)。
  • 供应链安全:支持基于 Digest 的安装,且利用 Cosign 对 Chart 进行签名和验签变得理所当然。

3. 迁移指南:给保守派的建议

作为生产环境的守门人,我们最怕的是“破坏性更新”。好消息是,Helm 4 在数据层面(Release Secret)是兼容的,不需要运行复杂的 2to3 数据迁移脚本。

但是,执行逻辑的变更意味着你需要谨慎:

  1. CLI 参数大清洗(必读): 官方为了消除歧义,重命名了多个核心参数(旧参数目前仅报警但仍可用,建议尽快修改):

    • --atomic $ ightarrow$ --rollback-on-failure (更准确描述行为)
    • --force $ ightarrow$ --force-replace (明确告知是删除重建,风险自负)

  2. Hook 的清理: 那些为了兼容 Helm 2 而留下的 crd-install Hook 终于被彻底移除了。请确保你的 Chart 遵循最佳实践,将 CRD 放入 crds/ 目录。

  3. kstatus 的严格等待: Helm 4 使用标准的 kstatus 库来判断资源是否 Ready。对于某些编写不规范的 Operator,Helm 3 可能觉得它 Ready 了,但 Helm 4 会一直等到超时。这其实是好事,它暴露了隐藏的稳定性问题。

结语

Helm 4 是一次“还债”式的升级。它删繁就简,丢掉了 Client-Side Merge 的历史包袱,引入了 WASM 和 SSA,坚定地站在了 Kubernetes 原生 API 的这一边。

对于还在观望的团队,我的建议是:不用担心数据迁移,但现在就开始检查你的 CI 脚本中的 CLI 参数,并在测试环境验证 SSA 下的 GitOps 行为。

资料来源

  • https://helm.sh/blog/helm-4-released/
  • https://kubernetes.io/docs/reference/using-api/server-side-apply/
Updated on 2026-01-22 
CC BY-NC-SA 4.0
KubernetesHelmInfrastructureDevOpsSSAOCIWasm
Back | Home

Contents