kubernetes-devops

这是一个专为 Kubernetes 云原生部署设计的配置生成技能，由 openclaw 社区维护，提供从基础 Deployment 到复杂 StatefulSet、CronJob 的全方位 YAML 清单模板。该技能不仅覆盖无状态应用、有状态数据库、定时任务等全场景 workload 类型，更内置了符合生产环境要求的安全加固方案，包括非 root 运行、只读文件系统、权限最小化等安全上下文配置，以及健康探针、资源限制等高可用保障机制。

核心用法

用户可通过该技能获取标准化的 Kubernetes 资源配置模板，涵盖 Deployment（无状态应用）、StatefulSet（有状态服务）、CronJob（定时任务）、Service（网络暴露）、Ingress（流量入口）、ConfigMap/Secret（配置管理）及 PVC（持久存储）等核心资源。技能提供基于 Kustomize 的多环境（dev/staging/prod）配置管理方案，支持通过占位符快速替换应用名称、镜像版本、资源配额等参数，并配套完整的验证命令（kubectl dry-run、kube-score、kube-linter）确保配置合规。

显著优点

首先，安全优先设计，所有模板默认启用 runAsNonRoot: true、allowPrivilegeEscalation: false、readOnlyRootFilesystem: true 等安全策略，符合企业级安全基线。其次，生产就绪，内置 liveness/readiness 探针、资源请求与限制（requests/limits）、标准标签体系，可直接用于生产环境。第三，场景覆盖全面，从单副本调试到多副本高可用，从内部 ClusterIP 到外部 LoadBalancer，从配置管理到存储挂载，提供一站式解决方案。第四，最佳实践指导，通过 "NEVER Do" 清单明确反模式（如禁止使用 :latest 标签、禁止硬编码密码），降低配置风险。

潜在缺点与局限性

作为纯文档型技能，其局限性在于缺乏动态生成能力，无法根据用户输入自动计算资源配额或生成复杂逻辑，对于需要参数化渲染的场景（如基于环境变量动态生成配置）仍需配合 Helm 或 Kustomize 使用。此外，模板固定性较强，面对非标准架构或特殊云厂商（如特定 AWS/Azure 注解）的定制化需求时，需要手动调整 YAML。对于完全零基础的 Kubernetes 用户，专业门槛仍然存在，需要理解 Pod、Service、Ingress 等基本概念才能正确使用。

适合的目标群体

该技能特别适合以下人群：具备基础 K8s 知识的开发工程师，需要快速生成符合安全规范的生产级部署配置；DevOps 工程师 和 SRE，负责制定团队内部的部署标准与模板规范；技术团队负责人，希望建立统一的资源配置基线，避免团队成员使用不安全的默认配置；以及云原生学习者，通过阅读生产级模板理解 Kubernetes 最佳实践与安全加固要点。

使用风险与注意事项

尽管该技能本身为静态文档无代码执行风险，但在实际应用中仍需注意：配置验证风险，生成的 YAML 需经过 --dry-run=server 验证后再应用，避免直接写入生产集群导致服务中断；敏感信息泄露风险，模板中的 Secret 示例使用占位符（如 changeme），若用户未替换直接提交至 Git 仓库可能造成凭证泄露，应配合 Sealed Secrets 或 Vault 使用；资源估算风险，模板中的 CPU/内存限制（如 256Mi/512Mi）为示例值，需根据实际应用负载调整，否则可能导致 OOMKilled 或资源浪费；版本兼容性风险，YAML 基于较新 Kubernetes API 版本编写，旧版集群（<1.19）可能存在字段不兼容问题。

核心功能

本 skill 专注于生成生产就绪的 Kubernetes 资源配置文件，覆盖云原生应用部署的完整生命周期：

• 工作负载资源：Deployment（无状态）、StatefulSet（有状态）、DaemonSet（节点代理）、Job/CronJob（批处理与定时任务）
• 网络与服务：ClusterIP（内部通信）、NodePort（开发测试）、LoadBalancer（云负载均衡）、Ingress（HTTP 路由与 TLS 终止）
• 配置管理：ConfigMap（非敏感配置）、Secret（凭据管理，强调加密存储最佳实践）
• 持久化存储：PersistentVolumeClaim 与多种访问模式（RWO/ROX/RWX）的合理选择指南

显著优势

1. 安全加固内置：强制 runAsNonRoot、allowPrivilegeEscalation: false、capabilities.drop: [ALL] 等安全上下文，直接符合 CIS Kubernetes Benchmark 与 Pod Security Standards
2. 健康探测完备：提供 liveness/readiness 探针的标准 HTTP 模板，避免服务雪崩
3. 资源管控规范：预设 CPU/memory 的 requests/limits，防止资源争抢与 OOMKill
4. 标签体系标准化：遵循 Kubernetes 官方推荐标签（app.kubernetes.io/*），支持多维度筛选与成本分摊
5. 多环境管理：原生支持 Kustomize 架构，overlay 模式实现 dev/staging/prod 配置分离

潜在局限

• 静态模板为主：生成的是 YAML 模板而非动态渲染，占位符（如 <app-name>）需手动替换，缺乏 Helm 的模板函数能力
• 云厂商特性有限：LoadBalancer 注解仅示例 AWS NLB，Azure/GCP 需用户自行查阅对应文档
• 高级调度未覆盖：未涉及 Pod Topology Spread Constraints、PodDisruptionBudget、优先级与抢占等高级特性
• Secret 管理轻量：仅提醒使用 Sealed Secrets/Vault，未提供集成指引

适用人群

• DevOps 工程师：快速搭建符合安全规范的 K8s 基线配置
• 开发团队：从本地 Docker Compose 向 K8s 迁移，需要标准化 YAML 起点
• 安全审计人员：参考内置的安全检查清单（Security Checklist）验证现有配置合规性
• 技术学习者：通过完整示例理解 K8s 资源对象的最佳实践写法

风险提示

| 风险类别 | 说明 | 缓解建议 |

|---------|------|---------|

| 配置漂移 | 模板为静态文件，手动替换占位符易出错 | 配合 CI/CD 的 `envsubst` 或 Kustomize 管理变量 |

| Secret 泄露 | 示例含占位符密码，用户可能误提交 | 强制使用 Sealed Secrets、External Secrets Operator 或 Vault |

| 资源估算不准 | 预设 250m/500m CPU 可能不适用高并发场景 | 基于实际压测调整 requests/limits |

| 版本兼容性 | 使用 `apiVersion: apps/v1` 等稳定 API，但旧集群需验证 | 执行 `kubectl api-versions` 确认兼容性 |

验证工具链建议：kube-score（静态评分）、kube-linter（安全规则）、kubectl --dry-run=server（服务端校验）。