热门搜索:
deck15/kubeval-tools
deck15
这是一个集成了多种工具的一站式Docker镜像,用于对Kubernetes YAML清单文件进行 linting、验证、静态代码分析、安全扫描、配置测试、审计、kustomize构建和干运行配置,特别适用于CI流程和GitOps管理的Kubernetes集群。
1 次收藏下载次数: 0状态:社区镜像维护者:deck15仓库类型:镜像最近更新:4 年前
让 AI 帮你使用轩辕镜像? · 展开查看说明
如果你使用 DeepSeek、元宝 AI、Copilot、ChatGPT 等 AI 工具,协助配置轩辕镜像、编写 docker pull 命令、修改 Docker Compose 镜像地址、配置镜像加速、排查镜像拉取失败、分析报错日志等问题,请先让 AI 阅读并遵守轩辕镜像的规则文档。
只需在 AI 对话中先发送下面这句话即可:
请先完整阅读并严格遵守以下文档中的全部规则与要求:
https://xuanyuan.cloud/agents.md
在未充分阅读并理解该文档前,不要生成任何命令、配置、修改建议、故障排查方案或技术回答。后续所有输出都必须严格以该文档中的规范为最高优先级执行。查看 agents.md 用法指南与完整示范。国内用户首推 元宝 AI、DeepSeek 的深度思考模式,不推荐豆包 AI;Cursor 等编辑器可在对话 @ 该链接,或加入 User Rules。 若 AI 无法访问外链,可 打开说明文档 复制全文粘贴。文档会随站点更新,复制内容可能过期,建议定期检查。
Kubernetes 验证工具
一个集成了多种工具的一站式集合,可对结构化Kubernetes YAML清单文件执行代码检查、常见验证、静态代码分析、安全扫描、配置测试、审计、kustomize构建和干运行配置。设计用于在CI(持续集成)流程中作为验证和测试的一部分,尤其适用于通过GitOps管理的Kubernetes集群。
https://github.com/HighwayofLife/kubernetes-validation-tools/actions/workflows/docker-publish.yml/badge.svg](https://github.com/HighwayofLife/kubernetes-validation-tools/actions/workflows/docker-publish.yml) !Docker Pulls
镜像概述和主要用途
该镜像旨在解决在CI/CD流程中缺乏包含所有主要Kubernetes YAML验证工具的单一镜像的问题。通过集成多种专业工具,能够在部署到Kubernetes集群之前对配置文件进行全面检查,帮助团队确保配置的正确性、安全性和合规性。它不涵盖各工具的详细使用方法,但提供了基本使用示例,可作为GitOps持续集成工作流的重要组成部分。
核心功能和特性
- 多工具集成:包含15种主流Kubernetes配置验证工具,覆盖从基础语法检查到深度安全扫描的全流程验证需求
- CI友好:专为CI环境设计,可无缝集成到各类CI/CD平台(GitHub Actions、Jenkins、Drone等)
- 全面验证:支持YAML语法检查、Kubernetes schema验证、安全风险评估、策略合规性检查等多种验证类型
- GitOps适配:特别适合作为GitOps工作流的验证环节,确保提交到Git仓库的配置符合部署标准
工具列表
| 工具 | 版本 | 用途 | 描述 |
|---|---|---|---|
| Kubectl | 1.23.5 | 命令行工具 | Kubernetes命令行工具,可使用--dry-run=client验证清单文件 |
| Helm | 3.8.1 | 命令行工具 | 用于管理Kubernetes应用的Helm工具,可通过helm lint或helm template进行验证 |
| Yamllint | 1.26.3 | 代码检查工具 | YAML文件的基础检查工具 |
| Kubeval | 0.16.1 | 验证工具 | 用于验证Kubernetes YAML清单的工具,不支持CRD |
| Kustomize | 4.5.3 | 编译工具 | 无模板化的应用配置自定义工具,用于验证kustomize配置 |
| Config Lint | 1.6.0 | 验证工具 | 使用YAML中指定的自定义规则验证配置文件 |
| Conftest | 0.30.0 | 测试工具 | 帮助针对结构化配置数据编写测试的实用工具 |
| Kube Score | 1.14.0 | 安全工具 | 对Kubernetes对象定义执行静态代码分析的工具 |
| Polaris | 5.1.0 | 验证工具 | 识别Kubernetes部署配置错误的工具 |
| Kube Linter | 0.2.6 | 安全工具 | 检查Kubernetes清单的代码检查和静态分析工具 |
| Kubeconform | 0.4.13 | 验证工具 | 类似Kubeval的Kubernetes清单验证工具,支持CRD |
| Kubeaudit | 0.16.0 | 安全工具 | 审计集群或清单文件以发现安全问题的工具 |
| Datree | 1.0.15 | 策略工具 | 确保Kubernetes清单和Helm图表有效并遵循策略的工具 |
| Kubesec | 2.11.4 | 安全工具 | Kubernetes资源的安全风险分析工具 |
使用场景和适用范围
- CI/CD流程集成:在代码提交或合并请求时自动验证Kubernetes配置
- GitOps工作流:作为GitOps流程的一部分,确保仓库中的配置符合部署标准
- 多环境配置验证:验证不同环境(开发、测试、生产)的Kubernetes配置
- 安全合规检查:在部署前对配置进行安全风险评估和策略合规性检查
- 团队协作规范:统一团队的配置验证标准,减少配置错误
使用方法和配置说明
获取镜像
可从https://github.com/HighwayofLife?tab=packages&repo_name=kubernetes-validation-tools%E6%88%96https://hub.docker.com/r/deck15/kubeval-tools%E8%8E%B7%E5%8F%96%E6%9C%80%E6%96%B0%E9%95%9C%E5%83%8F%E3%80%82
基本使用
直接在Docker中运行镜像:
shdocker run --rm -it docker.pkg.github.com/highwayoflife/kubernetes-validation-tools/image:latest /bin/bash
或
shdocker run --rm -it deck15/kubeval-tools:latest /bin/bash
CI/CD集成示例
GitHub Actions示例
使用容器规范在容器内运行步骤,确保指定与容器匹配的运行环境:
yamljobs: container: runs-on: ubuntu-latest container: deck15/kubeval-tools:latest steps: - run: | kubeconform -summary manifests.yaml name: Run in container
Jenkinsfile声明式示例(Kubernetes环境)
当Jenkins在Kubernetes集群中运行代理时使用:
groovypipeline { agent { kubernetes { cloud 'build-pipeline' defaultContainer 'validate' inheritFrom 'jnlp' yaml """ apiVersion: v1 kind: Pod spec: containers: - name: validate image: deck15/kubeval-tools:latest command: - cat tty: true """ } // kubernetes } // agent stages { steps { container('validate') { sh 'kubeconform -summary manifests.yaml' } } } }
Jenkinsfile声明式示例(Docker代理)
groovypipeline { agent { docker { image 'deck15/kubeval-tools:latest' } } // agent ... }
Drone示例:.drone.yml
yamlkind: pipeline type: docker name: default steps: - name: validate image: deck15/kubeval-tools:latest commands: - kubeconform -summary manifests.yaml
Circle-CI示例:.circleci/config.yml
yamlversion: 2.0 jobs: build: docker: - image: deck15/kubeval-tools:latest
Gitlab CI示例:.gitlab-ci.yaml
yamldefault: image: deck15/kubeval-tools:latest validate: script: - kubeconform -summary manifests.yaml
主要工具详细说明
Kubeaudit
https://github.com/Shopify/kubeaudit%E6%98%AF%E4%B8%80%E4%B8%AA%E5%91%BD%E4%BB%A4%E8%A1%8C%E5%B7%A5%E5%85%B7%E5%92%8CGo%E5%8C%85%EF%BC%8C%E7%94%A8%E4%BA%8E%E5%AE%A1%E8%AE%A1Kubernetes%E9%9B%86%E7%BE%A4%E7%9A%84%E5%90%84%E7%A7%8D%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98%EF%BC%8C%E4%BE%8B%E5%A6%82%EF%BC%9A
- 以非root用户运行
- 使用只读根文件系统
- 删除危险的能力,不添加新能力
- 不以特权模式运行
- 等更多安全检查
kubeaudit确保部署安全的容器!
KubeVal
kubeval是用于验证Kubernetes YAML或JSON配置文件的工具。它使用从Kubernetes OpenAPI规范生成的模式,因此可以验证多个Kubernetes版本的模式。
KubeConform
https://github.com/yannh/kubeconform%E6%98%AF%E4%B8%80%E4%B8%AAKubernetes%E6%B8%85%E5%8D%95%E9%AA%8C%E8%AF%81%E5%B7%A5%E5%85%B7%E3%80%82%E5%B0%86%E5%85%B6%E9%9B%86%E6%88%90%E5%88%B0CI%E4%B8%AD%E4%BB%A5%E9%AA%8C%E8%AF%81Kubernetes%E9%85%8D%E7%BD%AE%EF%BC%81
它受Kubeval启发,包含Kubeval的代码,并设计为与Kubeval保持兼容,但具有以下改进:
- 高性能:通过多线程验证和下载清单,在内存中缓存下载的文件
- 可配置的远程或本地模式位置列表,支持验证Kubernetes自定义资源(CRDs)和离线验证能力
- 默认使用kubernetes-json-schema项目维护的自更新模式注册表分支,保证所有近期Kubernetes版本的模式都是最新的
使用示例
验证单个有效文件:
shkubeconform fixtures/valid.yaml echo $? 0
验证单个无效文件,设置输出为json并打印摘要:
shkubeconform -summary -output json fixtures/invalid.yaml { "resources": [ { "filename": "fixtures/invalid.yaml", "kind": "ReplicationController", "version": "v1", "status": "INVALID", "msg": "Additional property templates is not allowed - Invalid type. Expected: [integer,null], given: string" } ], "summary": { "valid": 0, "invalid": 1, "errors": 0, "skipped": 0 } } echo $? 1
通过标准输入传递清单:
shcat fixtures/valid.yaml | kubeconform -summary Summary: 1 resource found parsing stdin - Valid: 1, Invalid: 0, Errors: 0 Skipped: 0
验证文件夹,增加并行工作线程数:
shkubeconform -summary -n 16 fixtures fixtures/crd_schema.yaml - CustomResourceDefinition trainingjobs.sagemaker.aws.amazon.com failed validation: could not find schema for CustomResourceDefinition fixtures/invalid.yaml - ReplicationController bob is invalid: Invalid type. Expected: [integer,null], given: string [...] Summary: 65 resources found in 34 files - Valid: 55, Invalid: 2, Errors: 8 Skipped: 0
ConfTest
ConfTest是一个帮助针对结构化配置数据编写测试的实用工具。例如,可以为Kubernetes配置、Tekton管道定义、Terraform代码、Serverless配置或任何其他结构化数据编写测试。
ConfTest依赖Open Policy Agent的Rego语言编写断言。
YAMLLint
yamllint是YAML文件的检查工具。
yamllint不仅检查语法有效性,还检查诸如键重复和外观问题(如行长度、尾随空格、缩进等)。
Kustomize
Kustomize允许您为多种目的自定义原始的、无模板的YAML文件,保持原始YAML不变且可用。
kustomize针对Kubernetes;它理解并可以修补Kubernetes风格的API对象。它类似于make,因为它的功能在文件中声明;也类似于sed,因为它输出编辑后的文本。Kustomize遍历Kubernetes清单以添加、删除或更新配置选项,无需分叉。
Kustomize特别适用于与https://argoproj.github.io/argo-cd/user-guide/kustomize/%E3%80%81FluxCD%E6%88%96Spinnaker%E7%AD%89%E5%B7%A5%E5%85%B7%E9%85%8D%E5%90%88%E4%BD%BF%E7%94%A8%EF%BC%8C%E4%BB%A5%E5%AE%9E%E7%8E%B0%E8%B7%A8%E5%A4%9A%E4%B8%AA%E9%9B%86%E7%BE%A4%E6%88%96%E7%8E%AF%E5%A2%83%E7%9A%84%E5%85%B1%E4%BA%AB%E6%B8%85%E5%8D%95%EF%BC%88%E8%B5%84%E6%BA%90%EF%BC%89%EF%BC%8C%E8%80%8C%E6%97%A0%E9%9C%80%E5%A4%8D%E5%88%B6%E4%BB%A3%E7%A0%81%E3%80%82Kustomize%E5%85%81%E8%AE%B8%E8%A6%86%E7%9B%96%E3%80%81%E5%90%88%E5%B9%B6%E5%92%8C%E5%85%B6%E4%BB%96%E9%85%8D%E7%BD%AE%E5%8A%9F%E8%83%BD%E3%80%82
KubeCTL
kubectl是Kubernetes的瑞士军刀式命令行工具,可以执行多种操作。其中之一是能够对yaml文件进行干运行验证:
sh$ kubectl create --dry-run --validate -f invalid.yaml
Helm
Helm命令用于在CI中检查或验证Helm图表。
helm lint
检查图表是否存在可能的问题。
注意:
单独使用
helm lint不足以充分验证Helm图表。建议将helm lint和helm template与其他清单验证工具结合使用。(见下面示例)
此命令接受图表路径并运行一系列测试以验证图表是否格式良好。
如果检查器遇到将导致图表安装失败的问题,将发出[ERROR]消息。如果遇到违反约定或建议的问题,将发出[WARNING]消息。
shhelm lint PATH [flags]
helm template与kubeconform结合使用
shhelm template ./path/to/chart | kubeconform -strict -ignore-missing-schemas
Config-Lint
https://stelligent.github.io/config-lint/%E6%98%AF%E4%B8%80%E4%B8%AA%E5%91%BD%E4%BB%A4%E8%A1%8C%E5%B7%A5%E5%85%B7%EF%BC%8C%E4%BD%BF%E7%94%A8YAML%E4%B8%AD%E6%8C%87%E5%AE%9A%E7%9A%84%E8%A7%84%E5%88%99%E9%AA%8C%E8%AF%81%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E3%80%82%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E5%8F%AF%E4%BB%A5%E6%98%AF%E5%A4%9A%E7%A7%8D%E6%A0%BC%E5%BC%8F%EF%BC%9ATerraform%E3%80%81JSON%E3%80%81YAML%EF%BC%8C%E5%B9%B6%E6%94%AF%E6%8C%81Kubernetes%E3%80%82%E4%B8%BATerraform%E6%8F%90%E4%BE%9B%E4%BA%86%E5%86%85%E7%BD%AE%E8%A7%84%E5%88%99%EF%BC%8C%E8%87%AA%E5%AE%9A%E4%B9%89%E6%96%87%E4%BB%B6%E5%8F%AF%E7%94%A8%E4%BA%8E%E5%85%B6%E4%BB%96%E6%A0%BC%E5%BC%8F%E3%80%82
shconfig-lint -rules example-files/rules/kubernetes.yml example-files/config
Kube-Score
https://github.com/zegl/kube-score%E6%98%AF%E5%AF%B9Kubernetes%E5%AF%B9%E8%B1%A1%E5%AE%9A%E4%B9%89%E6%89%A7%E8%A1%8C%E9%9D%99%E6%80%81%E4%BB%A3%E7%A0%81%E5%88%86%E6%9E%90%E7%9A%84%E5%B7%A5%E5%85%B7%E3%80%82%E8%BE%93%E5%87%BA%E6%98%AF%E4%B8%80%E7%B3%BB%E5%88%97%E5%BB%BA%E8%AE%AE%EF%BC%8C%E5%8F%AF%E5%B8%AE%E5%8A%A9%E6%94%B9%E8%BF%9B%E5%BA%94%E7%94%A8%E7%A8%8B%E5%BA%8F%E7%9A%84%E5%AE%89%E5%85%A8%E6%80%A7%E5%92%8C%E5%BC%B9%E6%80%A7%E3%80%82
kube-score可以在CI/CD环境中运行,如果发现严重错误,将以退出代码1退出。可以使用--exit-one-on-warning参数将触发级别更改为警告。
kube-score的输入应为部署到同一命名空间的所有应用程序,以获得最佳结果。
Helm示例
shhelm template my-app | kube-score score -
Kustomize示例
shkustomize build . | kube-score score -
静态YAML示例
shkube-score score my-app/*.yaml kube-score score my-app/deployment.yaml my-app/service.yaml
Polaris
https://github.com/FairwindsOps/polaris%E6%89%A7%E8%A1%8C%E5%90%84%E7%A7%8D%E6%A3%80%E6%9F%A5%EF%BC%8C%E7%A1%AE%E4%BF%9DKubernetes Pod和控制器使用最佳实践配置。Polaris作为CLI工具包含在内,用于测试本地YAML文件,例如作为CI/CD流程的一部分。
Polaris可以以几种不同的模式运行:
- 作为仪表板,可审计集群中运行的内容
- 作为验证Webhook,自动拒绝不符合组织策略的工作负载
- 作为命令行工具,测试本地YAML文件,例如作为CI/CD流程的一部分
可以在命令行上运行审计,并以JSON、YAML或原始分数查看输出:
shpolaris audit --format yaml > report.yaml polaris audit --format score # 92
审计可以针对本地目录或YAML文件而不是集群运行:
shpolaris audit --audit-path ./deploy/ # 或使用标准输入 cat pod.yaml | polaris audit --audit-path -
也可以对单个资源而不是整个集群运行审计:
shpolaris audit --resource "nginx-ingress/Deployment.apps/v1/default-backend"
在CI/CD中运行
可以将Polaris集成到包含基础设施即代码的仓库的CI/CD中。例如,如果Polaris检测到任何危险级别问题,或分数低于90%,则失败:
shpolaris audit --audit-path ./deploy/ \ --set-exit-code-on-danger \ --set-exit-code-below-score 90
有关CLI的更多使用选项,请参见https://github.com/FairwindsOps/polaris/blob/master/docs/usage.md
Kube Linter
https://github.com/stackrox/kube-linter%E6%98%AF%E4%B8%80%E4%B8%AA%E9%9D%99%E6%80%81%E5%88%86%E6%9E%90%E5%B7%A5%E5%85%B7%EF%BC%8C%E6%A3%80%E6%9F%A5Kubernetes YAML文件和Helm图表,确保其中表示的应用程序遵循最佳实践。KubeLinter接受YAML文件作为输入并对其运行一系列检查。如果发现任何问题,将报告并返回非零退出代码。
Datree
https://github.com/datreeio/datree%E6%98%AF%E4%B8%80%E4%B8%AACLI%E5%B7%A5%E5%85%B7%EF%BC%8C%E5%8F%AF%E5%9C%A8%E6%9C%AC%E5%9C%B0%E6%88%96CI/CD%E4%B8%AD%E4%BD%BF%E7%94%A8%EF%BC%8C%E7%A1%AE%E4%BF%9DKubernetes%E6%B8%85%E5%8D%95%E5%92%8CHelm%E5%9B%BE%E8%A1%A8%E9%81%B5%E5%BE%AA%E6%9C%80%E4%BD%B3%E5%AE%9E%E8%B7%B5%E4%BB%A5%E5%8F%8A%E7%BB%84%E7%BB%87%E7%9A%84%E7%AD%96%E7%95%A5%E3%80%82%E5%AE%83%E6%8F%90%E4%BE%9B30%E4%B8%AA%E7%BB%8F%E8%BF%87%E5%AE%9E%E6%88%98%E6%B5%8B%E8%AF%95%E7%9A%84%E8%A7%84%E5%88%99%E5%8F%AF%E4%BE%9B%E9%80%89%E6%8B%A9%EF%BC%8C%E5%B9%B6%E5%86%85%E7%BD%AE%E6%94%AF%E6%8C%81YAML%E5%92%8CKubernetes%E6%A8%A1%E5%BC%8F%E9%AA%8C%E8%AF%81%E3%80%82
静态YAML示例
shdatree test my-app/*.yaml datree test my-app/deployment.yaml
Helm示例
shhelm datree test <CHART_DIRECTORY>
KubeSec
https://github.com/controlplaneio/kubesec%E6%98%AFKubernetes Pod、Deployment、DaemonSet和StatefulSet的安全扫描工具。
使用示例
shkubesec scan manifest.yaml
示例输出
Kubesec返回JSON数组,可以扫描单个输入文件中的多个YAML文档。
json[ { "object": "Pod/security-context-demo.default", "valid": true, "message": "Failed with a score of -30 points", "score": -30, "scoring": { "critical": [ { "selector": "containers[] .securityContext .capabilities .add == SYS_ADMIN", "reason": "CAP_SYS_ADMIN是最具特权的能力,应始终避免使用", "points": -30 } ], "advise": [ {
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 kubeval-tools 镜像标签
docker pull docker.xuanyuan.run/deck15/kubeval-tools:<标签>
DockerHub 原生拉取命令
docker pull deck15/kubeval-tools:<标签>
更多 kubeval-tools 镜像推荐
rancher/rke-tools
rancher
暂无描述
14 次收藏1亿+ 次下载
11 个月前更新
temporalio/admin-tools
temporalio
以工作流即代码方式构建和运行弹性应用的Docker镜像
8 次收藏5000万+ 次下载
1 个月前更新
rancher/k3d-tools
rancher
支持k3d(https://k3d.io)的辅助容器镜像
4 次收藏500万+ 次下载
4 年前更新
demisto/py3-tools
demisto
暂无描述
100万+ 次下载
1 个月前更新
octopusdeploy/worker-tools
octopusdeploy
包含Octopus步骤常用工具的Docker镜像,是设置工作器执行容器的推荐选择,支持在工作器或Octopus Server上运行部署步骤时选择容器作为执行环境。
4 次收藏1000万+ 次下载
6 个月前更新
gittools/gitversion
gittools
GitVersion Docker镜像可分析Git历史记录,自动计算当前提交的语义化版本号,简化Git版本管理流程。
16 次收藏500万+ 次下载
2 个月前更新
镜像拉取常见问题
功能
错误码
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"