Zum Inhalt springen

Einführung

Kstack ist ein Skill-Pack für Claude Code, das dir hilft, Überwachungs-, Fehlerbehebungs- und Audit-Aufgaben auf deinen K8s-Clustern intelligent und effizient durchzuführen. Ohne kstack ruft ein Agent, der mit einem Cluster kommuniziert, in der Regel direkt kubectl auf. Das hat einige Nachteile:

  • Breite Abfragen (kubectl get pods -A -o yaml) laden große YAML-Blobs in den Kontext des Agents. Das verbraucht Tokens und platziert von Angreifern beeinflussbare Zeichenketten (Annotationen, Event-Nachrichten, Log-Zeilen) im selben Kontext wie Anweisungen.
  • Agents sind nicht deterministisch, daher variiert die Form der Antwort auf „ist mein Cluster gesund?” zwischen den Ausführungen.
  • Die Berechtigungsabfrage des Host-Agents erfolgt auf Shell-Ebene. Sie kann vor der Ausführung eines Befehls fragen, unterscheidet aber nicht zwischen kubectl get pods und kubectl delete namespace.

Kstack ersetzt die direkte kubectl-Nutzung für diese Aufgaben durch einen festen Satz von Skills. Die Skills rufen Skripte auf, um Daten für jede Aufgabe zu sammeln, und speichern Massenergebnisse auf der Festplatte, wobei Zusammenfassungen an den Agent zurückgegeben werden. Das gibt dem Agent feingranularere Kontrolle über die Antwort — sicherer, tokeneffizienter — und ermöglicht es ihm, Folgefragen schneller zu beantworten.

Skills

Abschnitt betitelt „Skills“

Überwachung

  • /cluster-status — Health-Snapshot (Pod-Neustarts, Node-Zustände, Ressourcendruck)
  • /events — Aktuelle Events, nach Schweregrad eingestuft

Fehlerbehebung

  • /investigate <resource> — Root-Cause-Analyse über Events, Logs und zugehörige Ressourcen
  • /logs — Gemeinsame tmux-Session, die natürliche Sprache in Log-Abfragen und -Analysen übersetzt (via Kubetail)
  • /metrics — CPU-, Speicher- und andere Ressourcen-Metriken für Pods, Nodes und Workloads abrufen
  • /exec <pod> — Gemeinsame tmux-Shell in einen Pod, Node oder ephemeren Debug-Container

Audits

  • /audit-security — RBAC, Pod-Sicherheitslage, Privilege-Tightening
  • /audit-network — NetworkPolicy, Service, Ingress, GatewayAPI, DNS und Verschlüsselungs-Checks
  • /audit-cost — Requests vs. tatsächliche Nutzung, Überversorgung, ungenutzte Kapazität
  • /audit-outdated — Veraltete Services, bekannte CVEs, verfügbare Versions-Updates

Verschiedenes

  • /cleanup — Alle kstack-eigenen Ressourcen aus dem Cluster entfernen (Debug-Container, Pod-Klone, Watcher-Jobs)
  • /forget — Lokalen Cache von kstack löschen und das Gelernte über deine(n) Cluster verwerfen

Unterstützte Agents

Abschnitt betitelt „Unterstützte Agents“

Skills bestehen aus einfachen Markdown-Dateien und zugehörigen Shell-Skripten. Das Bootstrap-Skript (https://kstack.sh/install) erkennt jeden unterstützten Agent in deinem PATH und installiert darin: Claude Code, OpenAI Codex CLI, OpenCode, Cursor, Factory Droid, Slate, Kiro, Hermes. Das Verhalten ist über alle Agents hinweg identisch; nur der Installationspfad unterscheidet sich.