Kubernetes 配置检查与发布安全清单
Kubernetes 难点不在命令,而在配置 YAML 文件:字段太多、版本变化快,还担心一 apply 就把线上环境搞挂,如何解决呢?
一、快速查询配置项的方法
1. 官方文档(最权威)
- Kubernetes API Reference
这里有 所有资源类型、字段、取值范围。比如 Deployment、Service、Ingress、RBAC 的字段解释都能找到。 - Kubernetes Concepts
更偏向原理,适合理解配置项的作用。
2. VS Code + Schema 自动补全
-
安装 Red Hat YAML 插件 + Kubernetes 插件。
-
配置 YAML Schema:
{"yaml.schemas": {"kubernetes": "/*.yaml"} }→ 写 YAML 时会自动提示合法字段,并报错不合法的配置。
3. Cheat Sheet / Snippet 插件
- Kubernetes Snippets 插件,输入
kdep自动展开 Deployment 模板。 - 社区的 kubectl Cheat Sheet 对配置和命令都有速查表。
二、验证配置正确性的方法
1. kubectl explain
直接在终端查询字段:
kubectl explain deployment.spec.template.spec.containers.resources
会显示字段的含义、类型和可选项,比查文档快。
2. kubectl apply --dry-run
模拟执行,不会改动资源:
kubectl apply -f my-deploy.yaml --dry-run=client
kubectl apply -f my-deploy.yaml --dry-run=server
- client:仅在本地校验语法。
- server:发给 API Server 校验,但不会真正写入 etcd。
3. kubectl diff
对比新配置与集群现状:
kubectl diff -f my-deploy.yaml
只显示差异,不会应用。非常适合 CI/CD。
4. Linter 工具
- kubeval:基于 Kubernetes OpenAPI schema 校验 YAML。
- kube-score:给出配置健康评分(副本数、资源限制、探针是否合理)。
- datree:可自定义策略,防止危险配置(如
latest镜像)。
三、如何保证“不伤害已有数据和环境稳定性”
-
优先在非生产环境验证
- 建一个
kind/minikube集群,先在本地跑。 - 或者使用独立的 dev/staging namespace。
- 建一个
-
使用 GitOps / CI/CD 流程
- 在合并前自动跑
kubectl apply --dry-run、kubectl diff、kubeval。 - 确认无误后再在 staging → prod 滚动发布。
- 在合并前自动跑
-
滚动更新策略
-
Deployment 默认是 RollingUpdate,不会一次性杀掉所有 Pod。
-
你也可以显式配置:
strategy:type: RollingUpdaterollingUpdate:maxUnavailable: 1maxSurge: 1
-
-
保护数据类资源
- 永远不要直接修改 PVC/StatefulSet 的存储参数。
- 修改数据库配置前,先用
kubectl scale把应用缩容到 0,确认数据持久化正常再启动。
-
强制预演
- 先
kubectl diff看差异 - 再
kubectl apply --dry-run=server验证 - 最后才
kubectl apply -f真正执行
- 先
✅ 总结:
- 快速查字段 →
kubectl explain+ 官方 API Reference + VS Code YAML 插件 - 验证正确性 →
kubectl apply --dry-run+kubectl diff+ kubeval/kube-score - 保证安全 → staging 环境演练 + GitOps 流程 + 滚动更新策略
📝 Kubernetes 配置检查与发布安全清单
1. 配置文件检查(YAML 层面)
| 检查项 | 说明 | 工具/命令 |
|---|---|---|
| YAML 格式正确 | 确认缩进/语法合法 | kubectl apply -f file.yaml --dry-run=client |
| API 版本正确 | 避免使用废弃 API(如 extensions/v1beta1 的 Ingress) | kubectl explain <kind> / API Reference |
| 必填字段完整 | metadata.name、spec.selector、spec.template 等 | VS Code YAML 插件 / kubectl explain |
| 资源命名规范 | 避免大写、特殊符号,遵循 DNS-1123 规则 | 文档约束 |
| Label/Annotation 一致 | 统一使用 app.kubernetes.io/* 约定 | 手动检查 |
2. 容器与镜像
| 检查项 | 说明 | 工具/命令 |
|---|---|---|
| 镜像固定版本 | 避免 :latest,必须用具体 tag 或 digest | 人工检查 |
| 镜像仓库可访问 | 保证私有仓库有 secret | kubectl get secret |
| 资源限制设置 | 每个容器必须设置 resources.requests/limits | kube-score |
| 健康检查探针 | livenessProbe/readinessProbe 是否配置 | kube-score |
| 安全上下文 | runAsNonRoot: true,避免特权模式 | kube-score / OPA Gatekeeper |
3. 配置与敏感信息
| 检查项 | 说明 | 工具/命令 | |
|---|---|---|---|
| ConfigMap/Secret 使用规范 | 不要把密码写死在 YAML,必须用 Secret | 人工检查 | |
| Secret base64 合法 | 解码后确认内容正确 | `echo | base64 -d` |
| 环境变量管理 | 用 envFrom 引用 ConfigMap/Secret,避免重复配置 | YAML 规范化 |
4. 存储与数据安全
| 检查项 | 说明 | 工具/命令 |
|---|---|---|
| PVC 绑定正常 | PVC → PV → 存储类是否存在 | kubectl get pvc,pv,sc |
| 危险字段修改禁止 | 不要随意修改 PVC 的 storageClassName 和大小 | 手动检查 |
| StatefulSet 更新策略 | Stateful 应用更新需滚动,避免数据丢失 | partition 策略 |
5. 发布前验证
| 检查项 | 说明 | 工具/命令 |
|---|---|---|
| 配置差异对比 | 查看新旧配置的差异 | kubectl diff -f file.yaml |
| 服务端 Dry-run | 让 API Server 校验配置合法性 | kubectl apply --dry-run=server -f file.yaml |
| Linter 工具校验 | kubeval/kube-score/datree 检查配置健康度 | kubeval file.yaml |
| 小规模演练 | 先在 dev/staging 环境 apply 验证 | GitOps / CI/CD |
6. 发布策略
| 检查项 | 说明 | 工具/命令 |
|---|---|---|
| Deployment 滚动更新 | strategy: RollingUpdate,maxUnavailable=1,maxSurge=1 | 人工检查 |
| 金丝雀/蓝绿发布 | 对核心服务建议金丝雀流量或蓝绿切换 | Argo Rollouts / Flagger |
| 不可中断 Job | Job/CronJob 要设置 backoffLimit,避免无限重试 | YAML 检查 |
7. 发布后监控
| 检查项 | 说明 | 工具/命令 |
|---|---|---|
| Pod 状态正常 | READY=1/1,无 CrashLoopBackOff | kubectl get pods -n <ns> |
| Event 无异常 | 没有 FailedScheduling / ImagePullBackOff | kubectl get events -A --sort-by=.metadata.creationTimestamp |
| 日志健康 | 应用日志无报错 | kubectl logs |
| 服务可访问 | Ingress/Service 正常返回 | curl / 测试脚本 |
| 自动回滚策略 | CI/CD 中启用失败回滚 | ArgoCD / Helm rollback |
✅ 使用建议
- 开发阶段:在 VS Code 里用 YAML 插件自动校验。
- CI 阶段:加上
kubectl apply --dry-run=server、kubectl diff、kubeval。 - 上线阶段:先 staging → 再 prod,务必观察监控。
- 运维保障:核心数据服务使用 StatefulSet,避免粗暴更新。