关于
多集群 Kubernetes 仪表板,通过 MCP 服务器和 10+ 内置代理技能实现 AI 驱动的运维操作
name: kubestellar-console description: "多集群 Kubernetes 仪表板,通过 MCP 服务器实现 AI 驱动的运维操作,内置 10+ agent 技能" category: devops risk: critical source: community source_repo: kubestellar/console source_type: community date_added: "2026-04-27" author: kubestellar tags: [kubernetes, multi-cluster, mcp, dashboard, cncf, devops, observability] tools: [claude, cursor, gemini, codex] license: "Apache-2.0" license_source: "https://github.com/kubestellar/console/blob/main/LICENSE" plugin: setup: type: manual summary: "需要 kc-agent 二进制文件 (brew tap kubestellar/tap && brew install kc-agent)" docs: "https://github.com/kubestellar/console#quick-start"
KubeStellar Console
概述
KubeStellar Console 是一个开源的多集群 Kubernetes 仪表板(CNCF 项目),具备 AI 驱动的运维能力。它附带 kc-agent——一个将编码 agent 桥接到 kubeconfig 和 Kubernetes API 的 MCP 服务器,以及 10+ 个内置 agent 技能,用于开发、测试和运维。
适用场景
- 管理跨边缘和云的多个 Kubernetes 集群
- 需要 AI 辅助的 Kubernetes 故障排查和调试
- 在 Kubernetes 仪表板上运行性能测试、缓存合规检查或 CI 调试
- 与 CNCF 项目集成(Argo、Kyverno、Istio 及 20+ 其他项目)
工作原理
步骤 1:安装 kc-agent
brew tap kubestellar/tap && brew install kc-agent
步骤 2:启动 MCP 服务器
kc-agent
这会将活跃的 kubeconfig 上下文桥接到任何兼容 MCP 的编码 agent。除非用户明确接受风险,否则不要从 cluster-admin 或具有写权限的上下文启动。
步骤 3:使用内置 agent 技能
该项目附带可通过 CLAUDE.md 和 AGENTS.md 访问的 agent 技能:
- @perf-test — 仪表板性能测试和 TTFI 分析
- @cache-test — 卡片缓存合规测试(IndexedDB 热返回)
- @nav-test — 导航性能测试
- @ui-compliance-test — 卡片加载合规(8 项标准,150+ 张卡片)
- @ci-status — CI 流水线监控和状态检查
- @rca — CI/测试失败的根因分析
- @tdd — 测试驱动开发工作流
- @k8s-debug — Kubernetes 调试和故障排查
核心功能
- 跨边缘和云的多集群管理
- 实时流式可观测性
- 20+ CNCF 项目集成(Argo、Kyverno、Istio 等)
- GitHub OAuth 认证
- 供应链安全(SBOM、SLSA)
- SQLite WASM 缓存,采用 stale-while-revalidate 模式
- 15+ 主题,支持深色/浅色模式
安全与注意事项
- 关键风险:
kc-agent将你的活跃 kubeconfig 上下文桥接到兼容 MCP 的 agent。如果该上下文具有 cluster-admin、写权限或 secret 读取权限,agent 将继承这些能力。 - 不要仅依赖 RBAC 对象: 创建 ServiceAccount 或 ClusterRoleBinding 不会改变
kc-agent使用的凭证。仅在将KUBECONFIG/上下文切换到专用的最小权限凭证并验证后,才启动kc-agent。 - 建议只读范围: 避免
resources='*',因为它包含 Secrets 等敏感对象。优先使用明确的非敏感资源列表,并在启动 MCP 服务器前验证访问权限:kubectl create serviceaccount kc-agent -n default kubectl create clusterrole kc-agent-readonly \ --verb=get,list,watch \ --resource=pods,services,deployments.apps,replicasets.apps,statefulsets.apps,daemonsets.apps,namespaces,nodes,events,configmaps kubectl create clusterrolebinding kc-agent-readonly \ --clusterrole=kc-agent-readonly \ --serviceaccount=default:kc-agent kubectl auth can-i get secrets --as=system:serviceaccount:default:kc-agent kubectl auth can-i list pods --as=system:serviceaccount:default:kc-agent - 第一个
can-i命令必须返回no;第二个应返回yes。然后创建或选择一个以该 ServiceAccount 身份认证的 kubeconfig,再运行kc-agent。 - 不要在没有认证的情况下将
kc-agent暴露在公网上。 - 查阅 SECURITY-AI.md 了解 prompt 注入和 agent 漂移的缓解措施。
限制
- 此技能需要通过 Homebrew 单独安装外部二进制文件(
kc-agent)。 - 不要将 agent 输出视为特定环境验证或专家审查的替代品。
- 如果所需权限或安全边界不明确,请停下来寻求澄清。
链接
兼容工具
Claude CodeCursor
标签
运维部署
