Kubernetes Skill für OpenClaw

OpenClaw Kubernetes Skill Überblick

Der Kubernetes Skill verbindet OpenClaw mit Ihren Kubernetes-Clustern über kubectl und eine Reihe von Cluster-Verwaltungstools. Nach der Installation kann Ihr OpenClaw-Agent Anwendungen deployen, Pod-Fehler beheben, Workloads skalieren, Manifeste generieren und Sicherheitsaudits durchführen — alles durch einfache natürlichsprachliche Befehle.

Kubernetes ist der Industriestandard für Container-Orchestrierung, aber die CLI-Oberfläche ist enorm umfangreich. Der OpenClaw Kubernetes Skill macht es überflüssig, Hunderte von kubectl-Unterbefehlen und Flags auswendig zu lernen. Anstatt zwischen Terminalfenstern und Dokumentation hin und her zu wechseln, beschreiben Sie, was Sie benötigen, und der Agent erledigt den Rest.

Typischer Workflow:

1. Bitten Sie OpenClaw, den Zustand Ihres Produktionsclusters zu prüfen.
2. Der Agent führt im Hintergrund kubectl get nodes, kubectl top pods und Health-Check-Skripte aus.
3. Die Ergebnisse werden in einer lesbaren Zusammenfassung mit umsetzbaren Empfehlungen zurückgegeben — kein Kontextwechsel erforderlich.

Dieser Skill unterstützt Kubernetes 1.31+, OpenShift 4.17+ und verwaltete Dienste wie Amazon EKS, Azure AKS und Google GKE. Er ergänzt sich natürlich mit dem Docker Essentials Skill für einen vollständigen Container-Workflow.

Voraussetzungen für den Kubernetes Skill

Bevor Sie den Kubernetes Skill installieren, stellen Sie sicher, dass Sie Folgendes haben:

• OpenClaw installiert und ausgeführt (v1.0+)
• kubectl installiert (v1.20+) — Installationsanleitung
• Eine gültige kubeconfig-Datei, die auf mindestens einen Cluster verweist
• clawhub CLI installiert für die Skill-Verwaltung

Überprüfen Sie Ihre Einrichtung:

# OpenClaw-Version prüfen
openclaw --version

# kubectl-Version prüfen
kubectl version --client

# Cluster-Konnektivität überprüfen
kubectl cluster-info

# Verfügbare Kontexte auflisten
kubectl config get-contexts

Wenn kubectl cluster-info einen Fehler zurückgibt, stellen Sie sicher, dass Ihre kubeconfig korrekt konfiguriert ist. Für verwaltete Cluster verwenden Sie die CLI des jeweiligen Anbieters, um Anmeldedaten zu generieren (z.B. aws eks update-kubeconfig, az aks get-credentials oder gcloud container clusters get-credentials).

So Installieren Sie den Kubernetes Skill

Installieren Sie den Kubernetes Skill mit einem einzigen Befehl:

npx clawhub@latest install kubernetes

Um die Installation zu überprüfen:

clawhub list

Sie sollten kubernetes in der Liste der installierten Skills sehen. Der Skill enthält Hilfsskripte für Cluster-Health-Checks, Sicherheitsaudits, Node-Wartung und Manifest-Generierung.

Kubernetes Skill Konfiguration

Der Kubernetes Skill nutzt Ihre bestehende kubeconfig zur Authentifizierung. Es werden keine zusätzlichen API-Schlüssel oder Tokens benötigt — wenn kubectl auf Ihrem Rechner funktioniert, funktioniert auch der Skill.

Kubeconfig-Einrichtung

Der Skill liest die Standard-kubeconfig unter ~/.kube/config. Um eine andere Datei zu verwenden oder mehrere Cluster zu verwalten:

# Benutzerdefinierten kubeconfig-Pfad festlegen
export KUBECONFIG=/path/to/your/kubeconfig

# Mehrere kubeconfig-Dateien zusammenführen
export KUBECONFIG=~/.kube/config:~/.kube/staging-config

# Zwischen Kontexten wechseln
kubectl config use-context production-cluster

Namespace-Eingrenzung

Aus Sicherheitsgründen empfehlen wir, den Skill auf bestimmte Namespaces einzuschränken, anstatt clusterweiten Zugriff zu gewähren:

# Standard-Namespace für den aktuellen Kontext festlegen
kubectl config set-context --current --namespace=my-app

# Aktiven Namespace überprüfen
kubectl config view --minify --output 'jsonpath={..namespace}'

Wichtig: Gewähren Sie dem Skill niemals cluster-admin-Berechtigungen in der Produktion. Verwenden Sie RBAC-Rollen, die auf die Namespaces und Ressourcen beschränkt sind, die Sie tatsächlich benötigen. Lesen Sie den Abschnitt Sicherheit und Best Practices weiter unten.

Kubernetes Skill Anwendungsbeispiele

1. Pod-Abstürze diagnostizieren

Du: „Warum stürzen die Pods im payments-Namespace ab?"

Der Agent führt kubectl get pods -n payments aus, identifiziert Pods im Status CrashLoopBackOff, ruft Logs mit kubectl logs ab und prüft Events mit kubectl describe pod. Er liefert eine Diagnose wie „OOMKilled — der Container hat sein Speicherlimit von 256Mi überschritten. Empfehlung: Erhöhung auf 512Mi."

2. Ein Deployment skalieren

Du: „Skaliere das API-Deployment auf 5 Replikas in Staging."

Der Agent führt kubectl scale deployment api --replicas=5 -n staging aus, überwacht den Rollout mit kubectl rollout status und bestätigt, wenn alle 5 Pods laufen und gesund sind.

3. Ein Produktionsmanifest generieren

Du: „Erstelle ein Deployment-Manifest für eine Node.js-App mit 3 Replikas, 256Mi Speicherlimit, Health Checks und einem ClusterIP-Service."

Der Agent verwendet den integrierten Manifest-Generator, um eine vollständige YAML-Datei mit Sicherheitsstandards zu erstellen — Nicht-Root-Benutzer, schreibgeschütztes Dateisystem, Ressourcenlimits, Liveness- und Readiness-Probes sowie eine passende Service-Definition.

4. Ein Sicherheitsaudit durchführen

Du: „Prüfe den default-Namespace auf Sicherheitsprobleme."

Der Agent führt das integrierte Sicherheitsaudit-Skript aus und prüft auf Container, die als Root laufen, fehlende Ressourcenlimits, übermäßig permissive RBAC-Bindungen und Pods ohne Pod Security Standards-Labels. Die Ergebnisse werden als priorisierte Liste von Befunden mit Behebungsschritten zurückgegeben.

5. Ein Rolling Update durchführen

Du: „Aktualisiere das web-Deployment auf Image v2.3.1 und überwache den Rollout."

Der Agent führt kubectl set image deployment/web web=myregistry/web:v2.3.1 aus und überwacht dann kubectl rollout status in Echtzeit. Wenn der Rollout stockt oder Pods die Health Checks nicht bestehen, warnt er Sie und schlägt kubectl rollout undo zum Zurückrollen vor.

Sicherheit und Best Practices

Kubernetes-Operationen können laufende Produktions-Workloads beeinflussen. Befolgen Sie diese Richtlinien, um sicher zu bleiben:

• Verwenden Sie RBAC mit minimalen Berechtigungen. Erstellen Sie dedizierte ServiceAccounts mit nur den benötigten Berechtigungen. Vermeiden Sie cluster-admin für den täglichen Betrieb. Die Kubernetes RBAC-Dokumentation behandelt die Rollenerstellung im Detail.
• Beschränken Sie auf Namespaces. Legen Sie einen Standard-Namespace in Ihrem kubeconfig-Kontext fest, damit der Skill nicht versehentlich Ressourcen in anderen Namespaces modifizieren kann.
• Prüfen Sie vor dem Anwenden. OpenClaw fordert eine Bestätigung an, bevor destruktive Operationen wie das Löschen von Pods, Skalierung auf Null oder das Draining von Nodes ausgeführt werden. Überprüfen Sie immer die vorgeschlagenen Änderungen.
• Verwenden Sie den Dry-Run-Modus. Für Manifest-Generierung und Apply-Operationen unterstützt der Skill --dry-run=client, um Änderungen vor der Anwendung auf den Cluster zu überprüfen.
• Rotieren Sie Anmeldedaten regelmäßig. Wenn Sie Service-Account-Tokens verwenden, legen Sie Ablaufrichtlinien fest. Für verwaltete Cluster setzen Sie auf kurzlebige Cloud-Provider-Anmeldedaten.
• Aktivieren Sie Audit-Logging. Konfigurieren Sie Kubernetes Audit-Logging, um alle über den Skill getätigten API-Aufrufe zu verfolgen. Lesen Sie die Sicherheits-Checkliste für allgemeine OpenClaw-Sicherheitsrichtlinien.

Fehlerbehebung Häufiger Fehler

„error: You must be logged in to the server (Unauthorized)"

Ihre kubeconfig-Anmeldedaten sind abgelaufen oder ungültig.

# Für AWS EKS
aws eks update-kubeconfig --name my-cluster --region us-east-1

# Für Azure AKS
az aks get-credentials --resource-group myRG --name my-cluster

# Für Google GKE
gcloud container clusters get-credentials my-cluster --zone us-central1-a

„error: the server doesn't have a resource type 'deployments'"

Der API-Server ist möglicherweise nicht erreichbar, oder Ihre RBAC-Berechtigungen sind unzureichend.

1. Führen Sie kubectl cluster-info aus, um die Konnektivität zu überprüfen.
2. Stellen Sie sicher, dass Ihre Rolle die Berechtigungen get, list und watch für die API-Gruppe apps/v1 hat.
3. Bitten Sie Ihren Cluster-Administrator, Ihr RoleBinding zu überprüfen.

„pod has unbound immediate PersistentVolumeClaims"

Der Pod benötigt ein PersistentVolume, das nicht existiert oder noch nicht bereitgestellt wurde.

1. Führen Sie kubectl get pvc -n <namespace> aus, um den Status des Claims zu prüfen.
2. Überprüfen Sie, ob die StorageClass existiert: kubectl get storageclass.
3. Stellen Sie bei Cloud-Anbietern sicher, dass der CSI-Treiber installiert ist und das Speicherkontingent nicht überschritten wurde.