Kustomize 分析器

v1.0.0

分析Kustomize配置以确保最佳实践、overlay一致性、patch正确性和跨环境的部署安全。

0· 15·0 当前·0 累计

by @charlie-morrison

系统工具存储部署操作系统检测工具配置管理

下载技能包

运行时依赖

无特殊依赖

安装命令

点击复制

官方npx clawhub@latest install kustomize-analyzer

镜像加速npx clawhub@latest install kustomize-analyzer --registry https://cn.longxiaskill.com 镜像可用

需要定制？告诉我你的需求 →

技能文档

Kustomize 分析器分析 Kustomize 配置以实现最佳实践、叠加一致性、策略/JSON 补丁正确性、资源管理和部署安全。在审查 Kustomize 设置、准备多环境部署或审计现有配置时使用。用法 "分析我的 Kustomize 叠加层是否存在问题" "检查我的开发/预发/生产配置是否一致" "验证 Kustomize 补丁是否正确" "审计跨环境的资源管理"

工作原理

结构发现

映射 Kustomize 目录布局： # 查找所有 kustomization 文件 find . -name "kustomization.yaml" -o -name "kustomization.yml" | sort # 映射基准和叠加层关系 for k in $(find . -name "kustomization.yaml"); do dir=$(dirname "$k") echo "=== $dir ===" grep -A 5 "resources:\|bases:" "$k" 2>/dev/null done

配置审计

基准资源：所有必需资源都存在（Deployment、Service、ConfigMap 等）资源名称遵循约定标签和注解一致命名空间处理（设置 vs 继承）叠加层分析：每个叠加层正确扩展基准环境特定值正确补丁无重复或冲突的补丁资源限制为生产叠加层设置副本计数每个环境适当补丁正确性：战略合并补丁目标现有字段 JSON 补丁引用有效路径无补丁默默地不执行（错误目标）补丁排序不会引起冲突

跨环境一致性

比较叠加层以实现一致性：所有环境中存在相同的资源资源限制适当缩放（开发 < 预发 < 生产） Secrets/ConfigMaps 匹配预期键镜像标签遵循促销模式（开发：最新，预发：RC，生产：semver）网络策略与环境隔离一致

安全审查

Secrets 不存储在叠加层中的明文中 SecurityContext 在生产叠加层中设置 NetworkPolicies 定义 ServiceAccount 配置适当 RBAC 资源在需要时存在 PodDisruptionBudgets 适用于生产

构建验证

# 构建每个叠加层并检查输出 for overlay in overlays/*/; do echo "=== 构建 $overlay ===" kubectl kustomize "$overlay" 2>&1 | head -5 echo "资源：$(kubectl kustomize "$overlay" 2>/dev/null | grep "^kind:" | wc -l)" done

输出

Kustomize 分析

基准： k8s/base (8 个资源) 叠加层： 开发、预发、生产

🔴 问题（3）

生产中缺少资源限制 — overlays/production/ 基准部署没有资源限制，生产没有补丁 → 添加战略合并补丁，包括 CPU/内存限制
补丁目标不存在的字段 — overlays/staging/ingress-patch.yaml 补丁 spec.rules[0].host 但基准 ingress 没有规则定义 → 修复基准 ingress 或使用 JSON 补丁添加操作
明文 Secret — overlays/production/database-secret.yaml 数据库密码以明文 YAML 存储：password: cHJvZF9wYXNz（"prod_pass" 的 base64 编码）→ 使用 SealedSecrets、SOPS 或外部 Secrets 操作符

🟡 警告（4）

开发叠加层缺少 NetworkPolicy（基准没有，生产有一个）
预发叠加层的镜像标签为 latest（应为发布候选版本）
生产中没有 PodDisruptionBudget
ConfigMap 键在开发（3 个键）和生产（5 个键）之间不同

📊 环境比较

| 资源 | 开发 | 预发 | 生产 | |----------|-----|---------|------| | 副本 | 1 | 2 | 3 | | CPU 限制 | 无 | 500m | 1000m | | 内存限制 | 无 | 512Mi | 1Gi | | 镜像标签 | 最新 | 最新 ⚠️ | v2.1.0 | | NetworkPolicy | ❌ | ❌ | ✅ | | PDB | ❌ | ❌ | ❌ ⚠️ |

✅ 良好实践

清晰的基准/叠加层分离
命名空间通过 kustomization.yaml 设置每个叠加层
公共标签通过 commonLabels 应用
资源命名遵循约定

数据来源：ClawHub ↗ · 中文优化：龙虾技能库