运行时依赖
版本
安装命令
点击复制技能文档
# Cluster Agent Swarm — 完整平台运营 ## 运行时需求 此技能包提供 Kubernetes/OpenShift 集群管理能力。凭据采用模块化设计——仅需按需配置。 ### 始终必需 | 需求 | 描述 | 环境变量 | |-------------|-------------|---------------------| | Kubeconfig | 有效的 kubeconfig 并具备集群访问权限 | KUBECONFIG 或 ~/.kube/config | | kubectl | Kubernetes CLI | 必须在 PATH 中 | ### 按需启用——仅当需要时 | 平台 | 启用条件 | 凭据 | |----------|--------------|-------------| | AWS/EKS/ROSA | 管理 AWS 托管的 Kubernetes | AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY | | Azure/ARO | 管理 Azure 托管的 Kubernetes | AZURE_CLIENT_ID, AZURE_CLIENT_SECRET, AZURE_TENANT_ID | | GCP/GKE | 管理 GCP 托管的 Kubernetes | GOOGLE_APPLICATION_CREDENTIALS | | ArgoCD | 使用 GitOps agent | ARGOCD_AUTH_TOKEN, ARGOCD_SERVER | | Vault | 使用密钥管理 | VAULT_TOKEN | | GitHub | 向 git 仓库推送变更 | GITHUB_TOKEN | ### 会话设置在开始使用 agent 前,必须先建立会话上下文: ``bash # 为你的环境设置会话上下文 bash skills/orchestrator/scripts/setup-session.sh ` ### 安全考量 - Agent 默认以最小权限运行 - 所有凭据访问均被记录 - 生产环境修改需人工审批 - 密钥绝不会被记录或硬编码 --- ## 安全评估——安装前必读 ### 源码验证 - 此技能从第三方 GitHub 仓库拉取代码 - 安装前请验证源 URL:https://github.com/kcns008/cluster-agent-swarm-skills - 始终固定到特定版本——绝不在生产环境使用 main 分支: `bash git clone https://github.com/kcns008/cluster-agent-swarm-skills.git cd cluster-agent-swarm-skills git fetch --tags git checkout v1.0.0 # 使用已验证的发布标签或提交哈希 ` ### 第三方脚本执行警告 - 这是脚本化技能——会将可执行 bash 脚本写入磁盘 - 脚本执行的集群操作包括:部署、扩缩容、扫描、配置 - 部分脚本可能具有破坏性——运行前请审阅: - 名称含 -delete、-cleanup 的脚本可能会删除资源 - 名称含 -promote、-deploy 的脚本会修改集群状态 - 务必先在非生产环境测试 ### 安装机制 - 通过 npx skills add 安装时,会从 GitHub 下载并执行代码 - 技能无法验证外部脚本的完整性 - 在生产环境运行前,请先在本地审计所有脚本 - 若环境要求,可考虑维护一套经离线验证的可信脚本副本 - 生产环境务必固定到已验证的提交哈希 - 绝不要使用 tree/main 或未打标签的分支 - 手动 git clone 并检出已验证版本可获得最高安全性 ### 持久化与爆炸半径 - Agent 通过以下文件在会话间保持持久化状态: - WORKING.md——会话进度跟踪 - LOGS.md——操作审计日志 - MEMORY.md——长期经验积累 - Agent 正常运行时会将变更提交到上述文件 - 若被滥用,此持久化会扩大爆炸半径——若担心,请限制仓库写入权限 ### 人工审批强制执行 - 技能文档声称生产环境变更需人工审批 - 此为流程控制,并非技术强制 - 平台必须在生产操作前实施审批门禁 - 切勿依赖 agent 自我限制来保障生产安全 ### 最小权限原则——必需 - 切勿提供 owner/root 级云凭据 - 为以下场景创建专用、最小权限的服务账号: - Kubernetes 命名空间级访问(而非 cluster-admin) - 仅具备有限 EKS 权限的 AWS IAM 角色 - 仅具备有限订阅访问权限的 Azure 服务主体 - 仅具备有限项目权限的 GCP 服务账号 - 在未于非生产环境审计代码前,绝不提供生产凭据 ### 生产环境使用前沙箱验证 1. 先在隔离/非生产环境运行此技能 2. 手动逐步执行脚本,理解其行为 3. 特别关注: - -cleanup.sh 脚本——可能删除资源 - -promote.sh 脚本——可能晋升制品 - -delete.sh 脚本——明确具有破坏性 4. 验证无意外外部网络调用 ### 供应链工具 - 脚本可能下载二进制文件(syft、cosign、trivy 等) - 仅允许从可信发布源下载(官方 GitHub releases、包管理器) - 若环境要求,可策划离线工具链 ### 附加文档 - OPERATIONAL_RISKS.md——完整的操作风险、不一致性及缓解措施文档 - SECURITY.md——安全策略、外部依赖及验证要求 --- 这是完整的 cluster-agent-swarm 技能包。添加此技能后,你可获得全部 7 个专用 agent 协同工作的集群能力。 ## 安装 ### 安全警告——安装前必读 > ⚠️ 严重安全警告 > > 以下安装命令使用 GitHub URL 获取并在你的系统上执行代码。 > 这是供应链风险——使用前必须验证仓库及提交。 > > 生产环境部署: > 1. 始终固定到特定、已验证的提交哈希 > 2. 审阅提交:git show > 3. 若有 GPG 签名,请验证:git verify-commit > 4. 使用下方手动克隆方法以获得最高安全性 > > 绝不要在生产环境使用浮动 URL(tree/main、未固定分支)。 ### 一键安装全部技能(仅开发) > ⚠️ 不适用于生产:使用浮动 URL,未固定提交。 `bash npx skills add https://github.com/kcns008/cluster-agent-swarm-skills ` ### 一键安装全部技能(生产环境——已固定) > ✅ 推荐:固定到已验证提交哈希。 `bash npx skills add https://github.com/kcns008/cluster-agent-swarm-skills/tree/91c362dba2911f7523f179e7dcc374cf4335814e ` 验证步骤: `bash # 安装前验证提交 git clone https://github.com/kcns008/cluster-agent-swarm-skills cd cluster-agent-swarm-skills git checkout 91c362dba2911f7523f179e7dcc374cf4335814e git show --stat # 查看变更内容 # 然后使用上述固定 URL 安装 ` ### 单独安装各技能 > ⚠️ 务必固定到已验证提交——生产环境勿用 tree/main。 `bash # Orchestrator - Jarvis(任务路由、协调) npx skills add https://github.com/kcns008/cluster-agent-swarm-skills/tree/91c362dba2911f7523f179e7dcc374cf4335814e/skills/orchestrator # Cluster Ops - Atlas(集群生命周期、节点、升级) npx skills add https://github.com/kcns008/cluster-agent-swarm-skills/tree/91c362dba2911f7523f179e7dcc374cf4335814e/skills/cluster-ops # GitOps - Flow(ArgoCD、Helm、Kustomize) npx skills add https://github.com/kcns008/cluster-agent-swarm-skills/tree/91c362dba2911f7523f179e7dcc374cf4335814e/skills/gitops # Security - Shield(RBAC、策略、CVE) npx skills add https://github.com/kcns008/cluster-agent-swarm-skills/tree/91c362dba2911f7523f179e7dcc374cf4335814e/skills/security # Observability - Pulse(指标、告警、事件) npx skills add https://github.com/kcns008/cluster-agent-swarm-skills/tree/91c362dba2911f7523f179e7dcc374cf4335814e/skills/observability # Artifacts - Cache(仓库、SBOM、晋升) npx skills add https://github.com/kcns008/cluster-agent-swarm-skills/tree/91c362dba2911f7523f179e7dcc374cf4335814e/skills/artifacts # Developer Experience - Desk(命名空间、接入) npx skills add https://github.com/kcns008/cluster-agent-swarm-skills/tree/91c362dba2911f7523f179e7dcc374cf4335814e/skills/developer-experience ` ### 手动安装(最高安全性) > ✅ 最安全:无远程代码执行,完整审计轨迹。 `bash # 克隆并验证 git clone https://github.com/kcns008/cluster-agent-swarm-skills cd cluster-agent-swarm-skills # 检出已验证提交 git checkout 91c362dba2911f7523f179e7dcc374cf4335814e # 验证(可选,若已 GPG 签名) git verify-commit 91c362dba2911f7523f179e7dcc374cf4335814e # 复制前审阅脚本 # ls skills/ --- ## 集群——Agent 花名册 | Agent | 代号 | 会话键 | 领域 | |-------|-----------|-------------|--------| | Orchestrator | Jarvis | agent:platform:orchestrator | 任务路由、协调、站会 | | Cluster Ops | Atlas | agent:platform:cluster-ops | 集群生命周期、节点、升级 | | GitOps | Flow | agent:platform:gitops | ArgoCD、Helm、Kustomize、部署 | | Security | Shield | agent:platform:security | RBAC、策略、密钥、扫描 | | Observability | Pulse | agent:platform:observability | 指标、日志、告警、事件 | | Artifacts | Cache | agent:platform:artifacts | 仓库、SBOM、晋升、CVE | | Developer Experience | Desk | agent:platform:developer-experience | 命名空间、接入、支持 | --- ## Agent 能力概要 ### Agent 能做什么 - 读取集群状态(kubectl get、kubectl describe、oc get) - 通过 GitOps 部署(argocd app sync、Flux 调和) - 创建文档与报告 - 调查并分诊事件 - 供应标准资源(命名空间、配额、RBAC) - 运行健康检查与审计 - 扫描镜像并生成 SBOM - 查询指标与日志 - 执行已批准的运维手册 ### Agent 不能做什么(需人工介入) - 删除生产资源(prod 环境 kubectl delete) - 修改集群级策略(NetworkPolicy、OPA、Kyverno 集群策略) - 直接修改密钥(无轮转工作流) - 修改网络路由或服务网格配置 - 超出定义资源限制地扩缩容 - 执行不可逆的集群升级 - 批准生产部署(可准备,需人工批准) - 在 cluster-admin 级别变更 RBAC --- ## 通信模式 ### @提及 Agent 通过共享任务评论中的 @提及进行通信: ` @Shield 请在我同步前 review 一下 payment-service v3.2 的 RBAC。 @Pulse CPU 飙升是与部署相关还是外部流量? @Atlas staging 集群需要再增加 2 个工作节点。 ` ### 主题订阅 - 评论任务 → 自动订阅 - 被 @提及 → 自动订阅 - 被指派 → 自动订阅 - 一旦订阅 → 心跳时将收到该主题所有后续评论 ### 升级路径 1. Agent 发现问题 2. Agent 在护栏内尝试解决 3. 若受阻 → @提及其他 Agent 或升级给人工 4. P1 事件 → 所有相关 Agent 自动收到通知 --- ## 心跳调度 Agent 按 5 分钟错开间隔唤醒: ` /5 Atlas(Cluster Ops——事件需快速响应) /5 Pulse(Observability——告警需快速响应) /5 Shield(Security——CVE 与威胁需快速响应) /10 Flow(GitOps——部署可等待几分钟) /10 Cache(Artifacts——晋升按计划执行) /15 Desk(DevEx——开发者请求通常不紧急) /15 * Orchestrator(Coordination——概览与站会) ` --- ## 核心原则 - 角色优于泛化——每个 Agent 都有明确定义的 SOUL,知道他们是谁 - 文件优于记忆——只有文件能在会话间持久化 - 错开调度——避免所有 Agent 同时唤醒 - 共享上下文——任务与通信的唯一真实来源 - 心跳而非常驻——在响应性与成本间平衡 - 人工介入——关键操作需审批 - 护栏优于自由——明确定义 Agent 能做什么、不能做什么 - 一切可审计——所有操作记录到活动 feed - 可靠性优先——系统稳定性永远胜过新功能 - 默认安全——默认拒绝,例外批准 --- ## 各 Agent 详细能力 ### Orchestrator(Jarvis) - 任务路由:决定哪个 Agent 处理哪个请求 - 工作流编排:协调多 Agent 操作 - 每日站会:汇总集群级状态报告 - 优先级管理:判断紧急程度与工作顺序 - 跨 Agent 通信:促进协作 - 责任追踪:记录承诺与交付 ### Cluster Ops(Atlas) - OpenShift/Kubernetes 集群操作(升级、扩缩容、补丁) - 节点池管理与自动扩缩容 - 资源配额管理与容量规划 - 网络故障排查(OVN-Kubernetes、Cilium、Calico) - 存储类管理及 PVC/CSI 问题 - etcd 备份、恢复与健康监控 - 多平台专家(OCP、EKS、AKS、GKE、ROSA、ARO) ### GitOps(Flow) - ArgoCD 应用管理(同步、回滚、同步波、钩子) - Helm chart 开发、调试与模板化 - Kustomize 叠加与补丁生成 - ApplicationSet 模板用于多集群部署 - 部署策略管理(金丝雀、蓝绿、滚动) - Git 仓库管理与分支策略 - 漂移检测与修复 - 密钥管理集成(Vault、Sealed Secrets、External Secrets) ### Security(Shield) - RBAC 审计与管理 - NetworkPolicy 审阅与强制执行 - 安全策略验证(OPA、Kyverno) - 漏洞扫描(镜像扫描、CVE 分诊) - 密钥轮转工作流 - 安全事件调查 - 合规报告 ### Observability(Pulse) - Prometheus/Grafana 指标查询 - 日志聚合与搜索(Loki、Elasticsearch) - 告警分诊与调查 - SLO 跟踪与错误预算监控 - 事件响应协调 - 仪表板与可视化 - 遥测管道故障排查 ### Artifacts(Cache) - 容器仓库管理 - 镜像扫描与 CVE 分析 - SBOM 生成与跟踪 - 制品晋升工作流 - 版本管理 - 仓库缓存与代理 ### Developer Experience(Desk) - 命名空间供应 - 资源配额与限制范围管理 - 开发者接入 - 模板生成 - 开发者支持与故障排查 - 文档生成 --- ## 文件结构 ` cluster-agent-swarm-skills/ ├── SKILL.md # 本文件——合并版集群 ├── AGENTS.md # 集群配置与协议 ├── skills/ │ ├── orchestrator/ # Jarvis - 任务路由 │ │ └── SKILL.md │ ├── cluster-ops/ # Atlas - 集群操作 │ │ └── SKILL.md │ ├── gitops/ # Flow - GitOps │ │ └── SKILL.md │ ├── security/ # Shield - 安全 │ │ └── SKILL.md │ ├── observability/ # Pulse - 监控 │ │ └── SKILL.md │ ├── artifacts/ # Cache - 制品 │ │ └── SKILL.md │ └── developer-experience/ # Desk - DevEx │ └── SKILL.md ├── scripts/ # 共享脚本 └── references/ # 共享文档 ` --- ## 参考文档 如需各 Agent 的详细能力,请查阅单独的 SKILL.md 文件: - skills/orchestrator/SKILL.md——Orchestrator 完整文档 - skills/cluster-ops/SKILL.md——Cluster Ops 完整文档 - skills/gitops/SKILL.md——GitOps 完整文档 - skills/security/SKILL.md——Security 完整文档 - skills/observability/SKILL.md——Observability 完整文档 - skills/artifacts/SKILL.md——Artifacts 完整文档 - skills/developer-experience/SKILL.md`——Developer Experience 完整文档