コンテンツにスキップ

はじめに

KstackはClaude Code向けのスキルパックで、K8sクラスターの監視、トラブルシューティング、監査タスクをスマートかつ効率的に実行できます。kstackがない場合、クラスターと通信するエージェントは通常 kubectl を直接呼び出します。これにはいくつかの欠点があります。

  • 広範なクエリ(kubectl get pods -A -o yaml)は大量のYAMLをエージェントのコンテキストに引き込みます。これはトークンを消費し、攻撃者が制御可能な文字列(アノテーション、イベントメッセージ、ログ行)を指示と同じコンテキストに配置します。
  • エージェントは決定論的ではないため、「クラスターは正常か?」 という質問への回答の形式が実行ごとに異なります。
  • ホストエージェントのパーミッションプロンプトはシェルレベルです。コマンド実行前に確認を求めることができますが、kubectl get podskubectl delete namespace を区別しません。

kstackは、これらのタスクに対する直接的な kubectl の使用を固定されたスキルセットに置き換えます。スキルはスクリプトを呼び出して各タスクのデータを収集し、バルク結果をディスクにキャッシュして、エージェントにサマリーを返します。これにより、エージェントはレスポンスをより細かく制御でき、より安全でトークン効率的になり、フォローアップの質問にも素早く答えられるようになります。

スキル

Section titled “スキル”

監視

  • /cluster-status — ヘルススナップショット(Pod再起動、Nodeコンディション、リソース圧迫)
  • /events — 重大度でランク付けされた最近のイベント

トラブルシューティング

  • /investigate <resource> — イベント、ログ、関連リソースを横断した根本原因分析
  • /logs — 自然言語をログ取得・分析に変換する共有tmuxセッション(Kubetail経由)
  • /metrics — Pod、Node、ワークロードのCPU・メモリ・その他リソースメトリクスの取得
  • /exec <pod> — Pod、Node、またはエフェメラルデバッグコンテナへの共有tmuxシェル

監査

  • /audit-security — RBAC、Podセキュリティポスチャー、権限の最小化
  • /audit-network — NetworkPolicy、Service、Ingress、GatewayAPI、DNS、暗号化チェック
  • /audit-cost — リクエスト対使用量、過剰プロビジョニング、アイドルキャパシティ
  • /audit-outdated — 古いサービス、既知のCVE、利用可能なバージョンアップ

その他

  • /cleanup — クラスターからkstack所有リソースをすべて削除(デバッグコンテナ、Podクローン、ウォッチャー Job)
  • /forget — kstackのローカルキャッシュをクリアし、クラスターについて学習した内容を破棄

対応エージェント

Section titled “対応エージェント”

スキルは普通のMarkdownファイルと付属のシェルスクリプトで構成されています。ブートストラップスクリプト(https://kstack.sh/install)は PATH 上でサポート対象エージェントを検出し、それぞれにインストールします。対応エージェント:Claude Code、OpenAI Codex CLI、OpenCode、Cursor、Factory Droid、Slate、Kiro、Hermes。動作はエージェント間で同一であり、インストールパスのみ異なります。