生产级 K8s 清单生成器

openclaw 维护的 K8s 配置技能，提供生产级 YAML 模板，内置安全加固策略，帮助构建安全可靠的云原生部署方案。

基本信息

• 技能名称?kubernetes-devops
• 中文名称?生产级 K8s 清单生成器
• 作者?wpank
• 分类?开发
• 版本?1.0.0
• 标签?kubernetes, devops, backend, infrastructure, container, yaml, security, production

使用方法

使用说明
这是一个专为 Kubernetes 云原生部署设计的配置生成技能，由 openclaw 社区维护，提供从基础 Deployment 到复杂 StatefulSet、CronJob 的全方位 YAML 清单模板。该技能不仅覆盖无状态应用、有状态数据库、定时任务等全场景 workload 类型，更内置了符合生产环境要求的安全加固方案，包括非 root 运行、只读文件系统、权限最小化等安全上下文配置，以及健康探针、资源限制等高可用保障机制。
核心用法
用户可通过该技能获取标准化的 Kubernetes 资源配置模板，涵盖 Deployment（无状态应用）、StatefulSet（有状态服务）、CronJob（定时任务）、Service（网络暴露）、Ingress（流量入口）、ConfigMap/Secret（配置管理）及 PVC（持久存储）等核心资源。技能提供基于 Kustomize 的多环境（dev/staging/prod）配置管理方案，支持通过占位符快速替换应用名称、镜像版本、资源配额等参数，并配套完整的验证命令（kubectl dry-run、kube-score、kube-linter）确保配置合规。
显著优点
首先， 安全优先设计 ，所有模板默认启用 runAsNonRoot: true 、 allowPrivilegeEscalation: false 、 readOnlyRootFilesystem: true 等安全策略，符合企业级安全基线。其次， 生产就绪 ，内置 liveness/readiness 探针、资源请求与限制（requests/limits）、标准标签体系，可直接用于生产环境。第三， 场景覆盖全面 ，从单副本调试到多副本高可用，从内部 ClusterIP 到外部 LoadBalancer，从配置管理到存储挂载，提供一站式解决方案。第四， 最佳实践指导 ，通过 "NEVER Do" 清单明确反模式（如禁止使用 :latest 标签、禁止硬编码密码），降低配置风险。
潜在缺点与局限性
作为纯文档型技能，其局限性在于 缺乏动态生成能力 ，无法根据用户输入自动计算资源配额或生成复杂逻辑，对于需要参数化渲染的场景（如基于环境变量动态生成配置）仍需配合 Helm 或 Kustomize 使用。此外， 模板固定性 较强，面对非标准架构或特殊云厂商（如特定 AWS/Azure 注解）的定制化需求时，需要手动调整 YAML。对于完全零基础的 Kubernetes 用户， 专业门槛 仍然存在，需要理解 Pod、Service、Ingress 等基本概念才能正确使用。
适合的目标群体
该技能特别适合以下人群：具备基础 K8s 知识的 开发工程师 ，需要快速生成符合安全规范的生产级部署配置； DevOps 工程师 和 SRE ，负责制定团队内部的部署标准与模板规范； 技术团队负责人 ，希望建立统一的资源配置基线，避免团队成员使用不安全的默认配置；以及 云原生学习者 ，通过阅读生产级模板理解 Kubernetes 最佳实践与安全加固要点。
使用风险与注意事项
尽管该技能本身为静态文档无代码执行风险，但在实际应用中仍需注意： 配置验证风险 ，生成的 YAML 需经过 --dry-run=server 验证后再应用，避免直接写入生产集群导致服务中断； 敏感信息泄露风险 ，模板中的 Secret 示例使用占位符（如 changeme ），若用户未替换直接提交至 Git 仓库可能造成凭证泄露，应配合 Sealed Secrets 或 Vault 使用； 资源估算风险 ，模板中的 CPU/内存限制（如 256Mi/512Mi）为示例值，需根据实际应用负载调整，否则可能导致 OOMKilled 或资源浪费； 版本兼容性风险 ，YAML 基于较新 Kubernetes API 版本编写，旧版集群（