Kubernetes

核心用法

本 skill 专注于生成生产就绪的 Kubernetes YAML 清单，支持 Deployment、StatefulSet、CronJob、Service、Ingress、ConfigMap、Secret 及 PVC 等全量工作负载类型。通过交互式引导，根据用户场景自动选择资源类型：无状态服务用 Deployment、数据库等状态型服务用 StatefulSet、定时任务用 CronJob。

核心能力包括：

• 安全配置：强制 runAsNonRoot、allowPrivilegeEscalation: false、capabilities.drop: [ALL]，可选 readOnlyRootFilesystem 与 seccompProfile
• 健康检查：自动生成 livenessProbe 与 readinessProbe 模板
• 资源管理：内置 CPU/Memory 的 requests/limits 最佳实践
• 多环境支持：提供 Kustomize 目录结构建议，支持 dev/staging/prod 差异化配置
• 验证与排错：整合 kubectl dry-run、kube-score、kube-linter 验证命令，附赠 Pod 状态诊断速查表

显著优点

1. 开箱即用的安全基线：相比裸写 YAML，强制遵循 Kubernetes 安全加固 6 项 checklist，降低容器逃逸与权限提升风险
2. 标准化标签体系：自动注入 app.kubernetes.io/name、version、component 等推荐标签，便于后续监控与治理
3. 场景化资源选型：通过决策表辅助用户区分 Deployment vs StatefulSet vs Job，避免误用
4. 云厂商无关：Service 模板同时覆盖 ClusterIP、NodePort、LoadBalancer 及云厂商注解示例（如 AWS NLB）

潜在缺点与局限性

• 不包含 CI/CD 集成：仅生成静态清单，不直接对接 ArgoCD、Flux 或 GitOps 工作流
• Helm Chart 生成有限：提及 Helm 但未提供 Chart 模板或 values.yaml 生成能力
• 网络策略（NetworkPolicy）缺失：安全章节未覆盖东西向流量隔离
• 多集群管理：无 Federation 或集群联邦相关配置
• Secret 管理依赖外部工具：仅提示使用 Sealed Secrets/Vault，未内嵌加密生成逻辑

适合人群

• 刚接触 Kubernetes 的开发者，需要规范 YAML 模板参考
• DevOps 工程师快速搭建微服务脚手架
• 安全审计人员验证现有清单合规性
• 技术负责人制定团队 K8s 规范与检查清单

常规风险

1. 敏感信息泄露风险：若用户忽视警告，仍可能将明文 Secret 提交至代码仓库
2. 资源限制误配：自动生成的 requests/limits 为示例值，生产环境需根据实际负载压测调整
3. 探针路径不匹配：模板中的 /health、/ready 路径需与应用实际接口对齐，否则导致无限重启
4. 存储类（StorageClass）名称硬编码：PVC 模板中的 gp3 为 AWS EBS 专用，跨云部署需手动替换

核心用法

这是一套面向 Kubernetes 运维和开发人员的纯文档/模板型 Agent Skill，覆盖了生产环境中最高频使用的 12 类 Kubernetes 资源清单生成：Deployment、StatefulSet、CronJob、DaemonSet、Job、Service、Ingress、ConfigMap、Secret、PVC、Kustomize 目录结构和 Helm 提示。

Skill 的核心交付物是 可直接复制修改的 YAML 代码块，所有模板均预置了完整的安全上下文（非 root 运行、禁止权限提升、丢弃所有 capabilities、只读根文件系统、Seccomp 配置）、健康检查（liveness/readiness probe）、资源请求与限制（requests/limits），以及符合 app.kubernetes.io/* 标准的标签体系。

使用者只需替换占位符（如镜像地址、端口号、域名），即可获得一份经过安全加固的生产级清单。Skill 还附带故障排查速查表和严格的反模式清单，能帮助团队在代码评审阶段就拦截常见安全/稳定性隐患。

显著优点

1. 内置安全最佳实践：每个模板默认集成 Pod 安全上下文、容器安全上下文、丢弃所有 Linux capabilities 等配置，从模板层面杜绝“以 root 运行”“权限提升”等 CVE 频发的安全漏洞。
2. 开箱即用的运维规范：健康检查、资源限制、标准标签、反亲和性建议一应俱全，直接生成的清单即可对接生产环境的监控、日志和 HPA 自动伸缩体系。
3. 零依赖、零执行风险：该 Skill 完全由 Markdown 文档和 YAML 模板文件构成，无 .sh/.py/.js 等可执行代码，无 npm/pip 依赖，供应链攻击面极小。
4. 丰富的模板矩阵：覆盖无状态/有状态/定时任务/网络/存储/配置管理六大场景，从单文件部署到 Kustomize 多环境覆盖均有示例，适合不同规模团队的实践。
5. 风险预警与反模式教育：通过 NEVER DO 章节明确列出“使用 :latest 标签”“跳过资源限制”“提交明文 Secret”等高频错误，兼具教学价值，能系统性提升团队的 K8s 运维素养。

潜在缺点或局限性

1. 非指令式、无自动化执行：Skill 本质上是静态参考指南，不会调用 kubectl、不会连接集群，完全依赖用户手动复制。缺乏交互式校验（如自动 dry-run）和模板参数化渲染能力。
2. 体验依赖于使用者基础：模板覆盖全面但对 K8s 基础概念有硬性要求，初学者可能不理解 PodDisruptionBudget、Seccomp Profile 等配置的取舍，盲目套用反而可能引入配置错误。
3. 版本更新无保障：由个人开发者维护，无公开 Roadmap 和 CI 签名机制，如果上游项目长期未更新，模板中引用的 API 版本（如 networking.k8s.io/v1beta1）可能在 K8s 新版本被废弃。
4. 模板风格单一：当前仅针对 nginx Ingress 和 AWS 风格的 LoadBalancer 注解，使用 Traefik、Istio Gateway、GKE 等场景需要自行大量修改。
5. 无许可证声明：Skill 根目录缺少 LICENSE 文件，企业和合规团队使用时需要额外评估知识产权风险，尤其在将模板集成到内部工具链时需谨慎。

适合的目标群体

• 中高级 DevOps/SRE 工程师：需要快速起草符合安全基线的 K8s 清单，或在团队内推行统一的清单规范和预检标准。
• 后端开发人员（Platform 型团队）：需要为微服务编写标准化的 Deployment + Service + Ingress 组合，同时避免遗漏健康检查和资源限制。
• 技术培训与教学场景：该 Skill 清晰展示了“生产级 vs 玩具级”清单的区别，可作为 K8s 安全培训课程的辅助材料。
• 个人开发者与独立承包商：希望在小项目或个人集群中应用企业级安全实践，但缺乏专职安全团队来制定规范，可直接复用 Skill 提供的安全清单。
• 注重合规与审计的中小企业：需要快速对齐 CIS Kubernetes Benchmark 等安全基线，该 Skill 提供的模板可作为最低安全配置的基础蓝本。

使用该技能可能存在的常规风险

1. 安全上下文误用风险：readOnlyRootFilesystem 和 runAsUser 等安全配置可能与某些容器镜像不兼容，直接套用模板会导致 Pod 反复 CrashLoopBackOff，用户需要逐个排查日志才能定位。
2. 资源限制设置不当：模板给定的 250m CPU / 256Mi 内存仅为示例值，实际工作负载差异巨大。设置过低会触发 OOMKill 和 CPU Throttling，设置过高会浪费集群资源，使用者必须根据压测数据调整。
3. 跨集群/跨发行版差异：模板基于原生 Kubernetes 编写，部分配置在 OpenShift、Rancher、GKE Autopilot 等受限环境可能因 PodSecurityPolicy 或准入控制器被拒绝，需要额外的适配工作。
4. T3 来源与供应链风险：Skill 来自个人开发者 GitHub 仓库，无组织背书且无签名校验。虽然当前扫描通过，但未来版本若被恶意篡改（如插入恶意内嵌脚本或钓鱼链接），CI/CD 流水线若盲目拉取可能会引入风险。
5. 依赖模板的惰性风险：过度依赖模板可能导致团队成员忽略学习每个字段的底层原理，在面对复杂故障（如 CNI 插件不兼容、CRI 运行时差异）时缺乏自主排查能力。