KubeShark: Kubernetesスキル（Claude Code / Codex対応）による誤ったYAML検出

Lukas Niessenは、Claude CodeとCodex向けのKubernetesスキルKubeSharkを構築しました。これは特定の問題に対処します：LLMがKubernetes YAMLを記述する際に幻覚を起こすことです。非推奨のAPIバージョンを生成したり、セキュリティコンテキストを忘れたり、どのPodも選択しないServiceを作成したり、プローブを誤設定したり、リソース要求を省略したり、一見有効に見えても負荷がかかると失敗するロールアウトを生成したりします。Kubernetesはこれらに非常に厳しく、間違ったServiceセレクタや壊れたliveness probeは正常に適用されるものの、サイレント障害やPod再起動を引き起こします。

障害モード優先型ワークフロー

KubeSharkは単なるベストプラクティスの集まりではありません。YAMLを生成する前に、エージェントは6つの障害領域で何が問題になる可能性があるかを考慮する必要があります。

• 安全でないワークロードのデフォルト設定
• リソース枯渇
• ネットワーク露出
• 特権の乱用
• 脆弱なロールアウト
• APIの逸脱

この考慮の後でのみ、マニフェスト、Helmチャート、Kustomizeオーバーレイ、RBAC、NetworkPolicy、または検証手順を生成します。運用上の詳細を避けられないものにし、スキップされないようにするという考え方です。

キャッチする具体的なミス

• Deploymentのラベルと一致しないServiceセレクタ
• 最新のKubernetesで削除されたAPIバージョンを使用するIngress
• セキュリティコンテキストなしでrootとして実行されるDeployment
• 外部データベースをチェックするliveness probe
• RoleBindingで十分なのにClusterRoleBindingを使用
• スケールダウン時にPVCが消えると想定するStatefulSet
• 誤ったKubernetes APIで有効なYAMLをレンダリングするHelmテンプレート
• 静かに間違ったリソースをターゲットにするKustomizeパッチ

トークン効率的なアーキテクチャ

KubeSharkのメインのSKILL.mdはコンパクトで手続き的に保たれています。より深い知識は、関連する場合にのみロードされる焦点を絞った参照ファイルに格納されています。例えば、プローブのガイダンスはRBACルールをロードせず、HelmタスクはNetworkPolicyのガイダンスをロードしません。これによりトークンの浪費を防ぎ、エージェントが無関係な概念を混在させる可能性を減らします。

このスキルは、条件付き参照取得を介してプラットフォーム固有のコンテキストもサポートします。IRSA、Karpenter、Azure Workload Identity、GKE Autopilot、OpenShift Routes、ApplicationSet、HelmRelease、ServiceMonitor、OpenTelemetry Collectorなどのシグナルを検出し、一致する参照をロードします。これにより、EKS、AKS、GKE、OpenShift、GitOps、または可観測性に対応したマニフェスト生成とレビューが、コンテキストが関連する場合にのみ可能になります。

デフォルトはセキュリティ重視で、Pod Security Standards、クロスリソースの一貫性チェック、ラベル/セレクタ/ポートの整合性、非推奨APIの回避、ロールバックガイダンスが組み込まれています。

ターゲットオーディエンス

プラットフォームエンジニア、SRE、DevOpsエンジニア、およびKubernetes作業にClaude CodeやCodexを使用するすべての人。