KubeShark: Навык Kubernetes для Claude Code и Codex для обнаружения галлюцинированного YAML

Lukas Niessen создал KubeShark — навык для Kubernetes от Claude Code и Codex, который решает конкретную проблему: LLM галлюцинируют при написании Kubernetes YAML. Они генерируют устаревшие версии API, забывают о контекстах безопасности, создают Services без подходящих подов, неправильно настраивают пробы, опускают запросы ресурсов и выдают rollout'ы, которые выглядят валидными, но ломаются под нагрузкой. Kubernetes здесь не прощает ошибок — неправильный селектор Service или сломанная liveness-проба применяются успешно, но вызывают скрытые сбои или перезапуски подов.

Рабочий процесс, ориентированный на отказы

KubeShark — это не сборник лучших практик. Перед генерацией любого YAML агент должен рассмотреть, что может пойти не так в шести областях отказов:

• Небезопасные настройки рабочих нагрузок по умолчанию
• Голодание ресурсов
• Открытость сети
• Расползание привилегий
• Хрупкие rollout'ы
• Дрейф API

Только после этого рассуждения он создаёт манифесты, Helm-чарты, Kustomize-оверлеи, RBAC, NetworkPolicies или шаги валидации. Идея в том, чтобы сделать операционные детали неизбежными, а не пропускаемыми.

Конкретные ошибки, которые он ловит

• Селектор Service, не совпадающий с метками Deployment
• Ingress с версией API, удалённой в современном Kubernetes
• Deployment, работающий от root без контекста безопасности
• Liveness-проба, проверяющая внешнюю базу данных
• ClusterRoleBinding там, где достаточно RoleBinding
• StatefulSet, предполагающий, что PVC исчезают при масштабировании вниз
• Helm-шаблон, генерирующий валидный YAML с неправильным Kubernetes API
• Kustomize-патч, молча нацеленный на неверный ресурс

Эффективная по токенам архитектура

Основной файл KubeShark SKILL.md остаётся компактным и процедурным. Глубокие знания хранятся в специализированных справочных файлах, загружаемых только при необходимости — например, руководство по пробам не загружает правила RBAC, а задачи Helm не загружают руководство по NetworkPolicy. Это предотвращает трату токенов и снижает вероятность того, что агент смешает несвязанные концепции.

Навык также поддерживает контексты, специфичные для платформы, через Условное извлечение справочной информации. Он обнаруживает такие сигналы, как IRSA, Karpenter, Azure Workload Identity, GKE Autopilot, OpenShift Routes, ApplicationSet, HelmRelease, ServiceMonitor или OpenTelemetry Collector, а затем загружает соответствующую справку. Это даёт генерацию и ревью манифестов с учётом EKS, AKS, GKE, OpenShift, GitOps или observability — только когда контекст релевантен.

Настройки по умолчанию склоняются в сторону безопасности: Pod Security Standards, проверки согласованности между ресурсами, соответствие меток/селекторов/портов, избегание устаревших API и рекомендации по откату встроены.

Целевая аудитория

Инженеры платформ, SRE, DevOps-инженеры и все, кто использует Claude Code или Codex для работы с Kubernetes.