Команда Nixys готовит к выпуску версию 3.1.0 nxs-universal-chart. Этот релиз аккумулирует все изменения, вошедшие в промежуточные сборки v3.0.10 - v3.0.21, а также новые фичи. Ниже — разбор ключевых нововведений и исправлений.

В начале хотелось бы выразить благодарность всем участникам, которые создают PR и issue на GitHub. Отдельно хотелось бы отметить самых активных контрибьюторов, чьи правки вошли в новый релиз:

• https://github.com/edvegas

• https://github.com/SachkovDM

• https://github.com/Gekter

Контекст: что такое nxs-universal-chart

Для тех, кто ещё не знаком: nxs-universal-chart - это Helm-чарт, позволяющий деплоить практически любое приложение в Kubernetes или OpenShift без написания собственных шаблонов. Вместо десятков YAML-файлов на каждый микросервис вы описываете ресурсы через единый values.yaml, а чарт самостоятельно генерирует Deployment, Service, Ingress и другие необходимые ресурсы. 

Главное изменение: умные чексуммы в autoRolloutChecksums

Пожалуй, самое практически значимое изменение v3.1.0 - переработка механизма autoRolloutChecksums. Раньше при включении этой опции чарт генерировал чексумм-аннотации для всех ConfigMap, Secret и SealedSecret в релизе. Это приводило к неприятному побочному эффекту: изменение любого ConfigMap вызывало рестарт всех ворклоадов, даже тех, которые этот ConfigMap не использовали.

Теперь autoRolloutChecksums анализирует, какие конфигурационные ресурсы реально привязаны к конкретному ворклоаду — через envConfigmaps, envSecrets, envsFromConfigmap, envsFromSecret или типизированные volumes — и генерирует чексуммы только для них. Глобальные envs и secretEnvs по-прежнему попадают в аннотации всех ворклоадов, что логично: они действительно используются повсюду.

Для команд, у которых в одном релизе живут десятки микросервисов с общей конфигурацией, это устраняет целый класс ложных rollout-ов. В GitOps-сценариях с Argo CD или Flux эффект ещё заметнее: меньше бессмысленных diff-ов, меньше ненужных синхронизаций.

Расширение экосистемы: 12 новых субчартов

Версия 3.x перешла на модульную архитектуру с OCI-hosted субчартами (nuc-*), и в v3.1.0 экосистема стала значительно шире. К ранее существовавшим субчартам для Traefik, Istio, cert-manager, Knative, KServe, Prometheus-стека, Gateway API, VictoriaMetrics, Vault и Argo CD добавились:

• Инфраструктура данных :

  • nuc-clickhouse,

  • nuc-elk,

  • nuc-rabbitmq,

  • nuc-strimzi-kafka-operator

• Базы данных через операторы:

  • nuc-mongodb-percona-operator,

  • nuc-mysql-percona-operator,

  • nuc-cloudnativepg,

  • nuc-valkey.

• Оркестрация и безопасность:

  • nuc-fluxcd для GitOps через Flux CD,

  • nuc-envoy-gatewayI,

  • nuc-external-secrets для интеграции с внешними хранилищами секретов,

  • nuc-keycloak-operator

Каждый субчарт включается через свой флаг nuc-<name>.enabled: true в values.yaml и не влияет на рендеринг, пока явно не активирован.

Новые shared-дефолты для ворклоадов

Версия 3.1.0 вводит набор новых «generic» параметров, которые позволяют задать дефолты один раз и забыть о копировании между десятками деплойментов:

• generic.nodeSelector - общий селектор нод для всех ворклоадов. Типичный сценарий: у вас есть пул nodepool: apps, и вы хотите, чтобы все поды приложения попадали именно туда. Раньше приходилось дублировать nodeSelector в каждом Deployment; теперь достаточно одной строки.

• generic.resources - дефолтные requests/limits для контейнеров. Это особенно актуально для команд, где политика «никаких подов без ресурсных лимитов» уже стала частью admission-контроллера: можно задать разумные дефолты глобально и переопределять только там, где нужно.

• generic.podSecurityContext и generic.containerSecurityContext - общие security-контексты с опцией mergeWithGeneric: true, позволяющей не заменять, а дополнять глобальные настройки на уровне конкретного ворклоада.

• generic.automountServiceAccountToken - возможность отключить автомонтирование токена сервисного аккаунта для всех подов по умолчанию. В эпоху zero-trust это базовая гигиена, и хорошо, что теперь она поддерживается чартом «из коробки».

• servicesGeneral - общие labels и annotations для всех Service-ресурсов, включая автоматически генерируемые governing-сервисы для StatefulSet.

Projected-тома и imagePullSecrets для ServiceAccount

Типизированные volumes пополнились поддержкой projected — теперь в volumes[].type: projected можно описать комбинированный volume, объединяющий данные из нескольких источников (ServiceAccountToken, ConfigMap, Secret, DownwardAPI) в одну точку монтирования. Функция востребована в сценариях с workload identity и IRSA/pod identity в облаках.

Кроме того, появилась возможность указывать imagePullSecrets непосредственно в ресурсе ServiceAccount через serviceAccountDefaultImagePullSecretName, serviceAccountGeneral.imagePullSecrets и per-SA оверрайды. Это упрощает работу с приватными реестрами в мультитенантных кластерах, где pull-секреты привязываются к сервисному аккаунту, а не к каждому поду отдельно.

Исправления

Ряд исправлений в v3.1.0 направлен на повышение устойчивости чарта к «неидеальным» values:

• Раньше, если внутри deployments, cronJobs, jobs или hooks встречались null-записи (например, при условном включении через Helmfile или ArgoCD ApplicationSet), рендеринг мог упасть с ошибкой шаблонизации. Теперь null-записи корректно пропускаются.

• Исправлена логика наследования cronJobsGeneral.suspend и cronJobsGeneral.singleOnly: ранее per-CronJob значение false или null не могло переопределить general-дефолт, что приводило к неожиданному поведению при попытке возобновить конкретный CronJob, когда общий флаг suspend был включён.

• Исправлен рендеринг envConfigmaps и envSecrets: при наличии null-элементов или пустых записей чарт мог генерировать пустой блок envFrom, что Kubernetes принимал, но что засоряло манифесты. Теперь пустые записи пропускаются, а множественные ссылки сохраняются корректно.

• Исправлена ошибка, при которой ConfigMap и Secret, аннотированные хуками по умолчанию, не удалялись при helm uninstall.

• Исправлен автоматический сбор чексумм для General.envConfigmaps и General.envSecrets — ранее ссылки, заданные на уровне general, могли не попадать в rollout-аннотации.

CI/CD: GitHub Actions «из коробки»

В репозитории появилась полноценная конфигурация GitHub Actions — lint, security-сканирование, smoke-тесты, юнит-тесты и e2e прогоны теперь запускаются автоматически на каждый PR.

Каталог samples

Добавлен каталог samples/ с готовыми примерами конфигураций для основных сценариев деплоя. Примеры покрыты smoke-тестами, так что они гарантированно рендерятся без ошибок и могут служить отправной точкой для новых проектов. Также добавлены примеры для новых субчартов: nuc-fluxcd, nuc-external-secrets, nuc-mongodb-percona-operator, nuc-envoy-gateway и nuc-valkey.

Документация

Обновлена документация по всем dependency-субчартам, задокументировано поведение deploymentsGeneral и cronJobsGeneral в части environment-источников (включая обработку пустых значений и порядок переопределения), очищены примерочные values-файлы — убраны пустые необязательные карты, заполнены обязательные поля конкретными значениями.

Однако, после работы с несколькими subcharts мы пришли к выводу, что новому пользователю будет максимально тяжело разобраться с этим многообразием values. Поэтому, кроме стандартной документации мы решили расширить функционал ознакомления с проектом.

MCP сервер

Model Context Protocol (MCP) — открытый стандарт от Anthropic, позволяющий AI-ассистентам (Claude, Cursor, Copilot и другим MCP-совместимым клиентам) обращаться к внешним инструментам напрямую из диалога. Мы решили, что для большой базы values это будет хорошим решением, поэтому выпустили MCP-сервер для nxs-universal-chart.

• Генерация values.yaml

  Вы описываете на естественном языке то, что хотите задеплоить, и получаете готовый values файл, совместимый со схемой чарта:

Напиши values файл для деплоя WordPress с MySQL через Percona XtraDB Cluster, Redis-кешем на базе Valkey, TLS от cert-manager и ингрессом nginx. Namespace — production.

Сервер знает полный контракт values.yaml, все субчарты (nuc-mysql-percona-operator, nuc-valkey, nuc-certificates и остальные) и генерирует конфиг, который проходит валидацию по values.schema.json без правок вручную.

• Валидация Helm-чартов

  После генерации или при работе с уже существующим values.yaml сервер предоставляет несколько инструментов проверки:

  • Schema-валидация — проверяет values.yaml по встроенному values.schema.json чарта и сразу сообщает о некорректных типах, лишних полях или нарушении обязательных ограничений, ещё до запуска Helm.

  • helm lint — прогоняет стандартный линтер Helm по вашему файлу значений и возвращает предупреждения и ошибки в диалог.

  • helm template — рендерит итоговые манифесты локально, чтобы можно было проверить, что именно попадёт в кластер.

  • kubeconform — валидирует отрендеренные манифесты на соответствие официальным схемам Kubernetes и CRD-схемам из каталога, выявляя устаревшие API и несовместимые поля.

Весь цикл происходит в одном диалоге без переключения между терминалом и редактором.

• Документация по Helm-чартам

  Сервер умеет обращаться к актуальной версии чартов и вытаскивать из них информацию о:

  • Поддерживаемых ресурсах Kubernetes

  • JSON схемам

  • Зависимостях

  А также осуществлять поиск по README.md, docs/, values.yaml, values.schema.json, и шаблонам.

Сайт nuc.nixys.ru

Вместе с MCP-сервером мы запускаем nuc.nixys.ru - браузерный инструмент для всех, кто работает с nxs-universal-chart и nuc-субчартами.

На сайте доступно несколько инструментов:

• Каталог субчартов - справочник по всем nuc-* зависимостям с описанием ресурсов, флагов включения и примерами values.

• UI-генератор values.yaml - визуальная форма для пошаговой сборки конфигурации чарта без знания схемы.

• Templates - набор готовых values для разных стеков и ситуаций;

• Migrate from Docker Compose - рендер docker-compose yaml файлов в манифесты NUC в режиме реального времени.

Кому стоит обновляться

Если вы используете nxs-universal-chart v3.0.x в production, обновление до v3.1.0 рекомендуется в первую очередь тем, кто:

• Страдает от лишних рестартов из-за autoRolloutChecksums - это решено на архитектурном уровне и не требует изменений в values.

• Использует GitOps и наблюдает «шумные» diff-ы - меньше ложных чексуммов означает меньше ненужных синхронизаций.

• Активно использует CronJob с general-дефолтами - исправления suspend/singleOnly устраняют неочевидные баги.

• Планирует интеграцию с Percona-операторами, CloudNativePG, ELK, ClickHouse или Envoy Gateway - субчарты уже готовы к использованию.

Обновление обратно совместимо: все существующие values продолжат работать без изменений. Новые параметры опциональны и имеют безопасные значения по умолчанию.

Заключение

Как и ранее, будем рады услышать ваши мысли и увидеть предложения по улучшению на GitHub, а также в нашем сообществе в Telegram. Увидимся!