KubeShark: Claude Code & Codex를 위한 쿠버네티스 스킬, 환각 YAML 탐지

Lukas Niessen이 KubeShark를 만들었습니다. 이는 Claude Code와 Codex를 위한 Kubernetes 스킬로, 특정 문제를 해결합니다: LLM이 Kubernetes YAML을 작성할 때 환각을 일으킨다는 점입니다. Deprecated API 버전을 생성하고, 보안 컨텍스트를 잊어버리며, 선택한 파드가 없는 Service를 만들고, 프로브를 잘못 구성하고, 리소스 요청을 생략하며, 유효해 보이지만 부하에서 실패하는 롤아웃을 생성합니다. Kubernetes는 이러한 실수에 관대하지 않습니다. 잘못된 Service 셀렉터나 깨진 활성 프로브는 성공적으로 적용되지만 무음 실패나 파드 재시작을 유발합니다.

장애 모드 우선 워크플로우

KubeShark는 모범 사례 모음이 아닙니다. YAML을 생성하기 전에 에이전트는 6가지 장애 영역에서 무엇이 잘못될 수 있는지 추론해야 합니다:

안전하지 않은 워크로드 기본값
리소스 부족
네트워크 노출
권한 확장
취약한 롤아웃
API 드리프트

이러한 추론 후에야 매니페스트, Helm 차트, Kustomize 오버레이, RBAC, 네트워크 정책 또는 검증 단계를 생성합니다. 아이디어는 운영 세부 사항을 생략할 수 없게 만드는 것입니다.

잡아내는 특정 실수

Deployment 레이블과 일치하지 않는 Service 셀렉터
최신 Kubernetes에서 제거된 API 버전을 사용하는 Ingress
보안 컨텍스트 없이 root로 실행되는 Deployment
외부 데이터베이스를 확인하는 활성 프로브
RoleBinding으로 충분한데 ClusterRoleBinding 사용
스케일 다운 시 PVC가 사라진다고 가정하는 StatefulSet
잘못된 Kubernetes API로 유효한 YAML을 렌더링하는 Helm 템플릿
잘못된 리소스를 조용히 대상으로 하는 Kustomize 패치

토큰 효율적인 아키텍처

KubeShark의 메인 SKILL.md는 간결하고 절차적입니다. 더 깊은 지식은 관련 참조 파일에 저장되어 관련이 있을 때만 로드됩니다. 예를 들어, 프로브 지침은 RBAC 규칙을 로드하지 않고, Helm 작업은 네트워크 정책 지침을 로드하지 않습니다. 이는 토큰 낭비를 방지하고 에이전트가 관련 없는 개념을 혼합할 가능성을 줄입니다.

또한 스킬은 조건부 참조 검색을 통해 플랫폼별 컨텍스트를 지원합니다. IRSA, Karpenter, Azure Workload Identity, GKE Autopilot, OpenShift Routes, ApplicationSet, HelmRelease, ServiceMonitor 또는 OpenTelemetry Collector와 같은 신호를 감지한 다음 일치하는 참조를 로드합니다. 이를 통해 컨텍스트가 관련 있을 때만 EKS 인식, AKS 인식, GKE 인식, OpenShift 인식, GitOps 인식 또는 관찰 가능성 인식 매니페스트 생성 및 검토가 가능합니다.

기본값은 보안 쪽으로 치우쳐 있습니다: 파드 보안 표준, 리소스 간 일관성 검사, 레이블/셀렉터/포트 정렬, Deprecated API 방지 및 롤백 지침이 내장되어 있습니다.