Conheça o kpt: ferramenta da CNCF para automação de infraestrutura declarativa
Aprofundamento CEVIU
Aprofundamento
O kpt não é só mais uma CLI para Kubernetes: ele opera como um sistema de manipulação de dados declarativos, tratando manifestos KRM como conteúdo imutável até a etapa final de aplicação. Ao contrário de ferramentas baseadas em templates (como Helm ou Kustomize), o kpt evita geração dinâmica de YAML, os arquivos que você vê no Git são exatamente os que vão para o cluster. Isso alinha-se diretamente com a Validação Declarativa GA do Kubernetes v1.36, que agora permite validar restrições nativamente no schema, sem código Go adicional. A CLI do kpt executa mutadores e validadores como passos explícitos em pipelines, integráveis com Argo CD ou GitHub Actions, e suporta pacotes versionados via Git, tarball ou diretório local, o que faz dele um candidato natural para equipes que já usam k0s/k0rdent em multi-cluster ou Iru para Config as Code em endpoints físicos.
A abordagem 'Configuration as Data' do kpt também resolve um problema prático em ambientes de plataforma: a falta de rastreabilidade entre o que foi aprovado em PR e o que realmente entra no cluster. Em vez de confiar em scripts de transformação opacos, cada mutação é declarada, testável e auditável, algo crítico quando se aplica políticas com Kyverno em pipelines GitOps, como feito com CoCo ou em implantações seguras com Argo CD.
O que mudou
Em abril de 2026, o kpt ainda era citado apenas indiretamente na cobertura CEVIU, como parte do ecossistema emergente de engenharia de plataformas, mas sem menção formal ao projeto ou à sua arquitetura WYSIWYG. Agora, com o anúncio oficial da CNCF em 2 de julho de 2026 e o foco explícito em estabilização de APIs para v1, o kpt saiu do estágio de experimentação para se tornar um componente estratégico de automação determinística. O que antes eram rumores sobre suporte a segredos e multicluster agora consta no roadmap público, com prioridade técnica definida, e a integração com Helm, antes especulada, passa a ser um objetivo concreto de compatibilidade, não apenas de coexistência.
Por que isso importa
Para equipes de plataforma, o kpt reduz o custo operacional de manter pipelines complexos de infraestrutura. Ele elimina o 'black box' de geração de manifestos, permitindo que revisões de código capturem não só lógica de negócios, mas também comportamento de deploy, essencial para auditorias de conformidade e certificações como PCI ou LGPD. Além disso, sua arquitetura modular facilita a adoção progressiva: você pode usar só o validador com Kyverno, só o mutador para injeção de labels em todos os clusters, ou o fluxo completo com Argo CD, sem precisar reescrever toda a stack de automação.
Linha do tempo
Kyverno integrado ao Argo CD para política como código em pipelines GitOps
Uso de k0s e k0rdent para construção de plataforma Kubernetes multi-cluster
Validação Declarativa do Kubernetes v1.36 promovida a GA
Lançamento da abordagem Config as Code da Iru para endpoints Mac
kpt anunciado como ferramenta oficial da CNCF para automação de infraestrutura declarativa
Perguntas frequentes
kpt substitui o Helm ou o Kustomize?
Não. O kpt não gera ou sobrescreve manifestos, ele opera *sobre* eles. Você pode usar kpt com pacotes Helm ou Kustomize como entrada, aplicando mutações e validações em cima. A diferença é que o kpt trata o resultado final como dado imutável até o apply, enquanto Helm e Kustomize geram conteúdo dinâmico.
Como o kpt se integra com Argo CD?
O kpt exporta pacotes como diretórios de YAML válidos, prontos para serem consumidos por Argo CD como fonte de aplicação. Ele também fornece hooks de pré-apply (como validação com Kyverno) e suporta sincronização contínua com branches Git, mantendo o controle total sobre o que é entregue, sem surpresas de renderização em tempo de deploy.
O kpt lida com segredos de forma segura?
A versão atual não inclui gerenciamento nativo de segredos, mas o roadmap oficial da CNCF prevê suporte para SOPS, Sealed Secrets e integração com provedores externos como HashiCorp Vault. Até lá, a recomendação é usar mutadores customizados ou ferramentas complementares dentro do mesmo pipeline.
É possível usar kpt em ambientes sem Kubernetes?
Sim. Embora o foco seja o Kubernetes Resource Model (KRM), o kpt é agnóstico quanto ao destino final: ele manipula dados estruturados em YAML/JSON. Equipes já o adaptaram para gerar configurações de Terraform, perfis de Iru para Mac ou até definições de CI/CD em GitHub Actions, desde que o formato de saída seja compatível.
Fontes
- cncf.iofonte original
- Categoria
- CEVIU DevOps
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU DevOps
