zegl/kube-score

kube-score 官方Docker镜像

概述

kube-score是一款开源的Kubernetes资源静态分析工具，专注于检查资源清单是否符合最佳实践与安全标准。本镜像为kube-score的官方容器化分发版本，提供便捷的跨环境部署方式，支持在CI/CD流程或本地环境中快速执行配置审计。

核心功能和特性

• 最佳实践验证：自动检测资源是否配置存活探针（livenessProbe）、就绪探针（readinessProbe）等关键健康检查项
• 资源配置检查：验证CPU/内存资源请求（requests）和限制（limits）是否合理设置，避免资源争用或浪费
• 安全配置审计：检查容器是否以非root用户运行、特权模式是否禁用、敏感挂载（如/proc）是否受限等安全上下文配置
• 部署合理性评估：分析副本数（replicas）、服务暴露策略、网络策略关联等部署配置的合规性
• 多输入格式支持：兼容本地YAML/JSON文件、远程URL及标准输入（stdin）传递的资源清单

使用场景和适用范围

• CI/CD流水线集成：在应用部署前自动执行，作为代码合并或镜像构建的前置检查环节，提前阻断不合规配置
• 本地开发调试：开发人员编写Kubernetes配置文件后，快速验证是否符合团队规范
• 集群配置审计：定期扫描现有集群资源，生成配置健康报告，辅助运维团队优化集群稳定性

使用方法和配置说明

基本使用（分析本地文件）

将本地资源清单目录挂载至容器，执行基础检查：

bash
docker run --rm -v $(pwd):/manifests zegl/kube-score score /manifests/deployment.yaml

批量分析目录文件

分析指定目录下所有YAML/JSON资源文件：

bash
docker run --rm -v $(pwd):/manifests zegl/kube-score score /manifests/*.yaml

标准输入模式（适合管道集成）

通过标准输入传递资源清单，支持与kubectl等工具联动：

bash
kubectl get deployment my-app -o yaml | docker run --rm -i zegl/kube-score score -

自定义检查策略

• 忽略特定检查项：使用--ignore-check参数排除非必需检查（如测试环境可忽略网络策略检查）

  bash
  docker run --rm -v $(pwd):/manifests zegl/kube-score score --ignore-check=pod-networkpolicy /manifests/deployment.yaml
  

• 启用可选检查：通过--enable-check开启额外检查项（如PodDisruptionBudget关联检查）

  bash
  docker run --rm -v $(pwd):/manifests zegl/kube-score score --enable-check=pod-disruption-budget /manifests/deployment.yaml
  

输出格式配置

支持多种输出格式以适配不同场景：

• JSON格式（适合程序解析）：

  bash
  docker run --rm -v $(pwd):/manifests zegl/kube-score score --output-format json /manifests/deployment.yaml
  

• JUnit XML格式（适合CI报告集成，如Jenkins、GitLab CI）：

  bash
  docker run --rm -v $(pwd):/manifests zegl/kube-score score --output-format junit /manifests/deployment.yaml > kube-score-report.xml
  

镜像标签说明

• latest：跟踪最新稳定版本，适合测试环境
• 版本化标签（如1.16.0）：对应具体发布版本，生产环境建议使用固定版本以确保一致性

注意事项

• 挂载本地目录时需确保宿主机文件权限允许容器读取（建议使用-v $(pwd):/manifests:ro设置只读挂载增强安全性）
• 对大型集群资源清单（如数百个资源文件）分析时，建议分批次处理以降低内存占用
• 完整检查项列表及参数说明可参考官方文档：https://github.com/zegl/kube-score