Prueft es gegen das Live-Kubernetes-API-Schema?

**Nein.** Der Validator codiert die Top-30-Regeln fuer die haeufigsten Kinds von Hand. Er laedt keine CRDs (Custom Resource Definitions) aus deinem Cluster, alles jenseits der Standard-Kinds erscheint nur als Info. Fuer volle Schema-Validierung gegen deinen spezifischen Cluster `kubeval`, `kube-score` oder `kubectl apply --dry-run=server` nutzen. Fuer sehr gruendliches Best-Practice-Scoring sind `kube-linter` und `kube-score` gute Open-Source-Begleiter.

Warum ist "Selector passt nicht zu Template-Labels" so haeufig?

Weil die Beziehung **fuer K8s-Neulinge nicht offensichtlich** ist. `spec.selector.matchLabels` in einem Deployment sagt dem Controller, welche Pods dieses Deployment besitzt. `spec.template.metadata.labels` ist das, was der Controller jedem von ihm erzeugten Pod aufpraegt. Sind sie verschieden, erzeugt das Deployment Pods, die **der eigene Selector nicht findet**, und der Controller dreht endlos im Kreis und erzeugt mehr. Schlimmer: zeigt ein Service auf denselben Selector, geht Traffic auf Phantom-Endpoints. Fix: jeder Key in matchLabels muss in template-labels mit demselben Wert sein.

Warum ist :latest eine Warnung?

Weil **:latest ein veraenderlicher Tag ist**: der Image-Inhalt aendert sich ueber Zeit. Ein Pod-Restart kann ein anderes Binary ziehen als urspruenglich, und das ist die Art Ueberraschung, die niemand um 3 Uhr morgens in Prod will. Auf eine **semantische Version** pinnen (`nginx:1.27-alpine`) oder fuer ultimative Reproduzierbarkeit auf einen **Digest** (`nginx@sha256:abc...`). Kombiniert mit `imagePullPolicy: IfNotPresent` bei gepinnten Tags werden Deployments deterministisch und schneller.

Was ist falsch an privileged: true?

**[[privileged||Container laeuft mit vollen Host-Capabilities, inklusive direktem Geraet-Zugriff; sehr wenige legitime Use-Cases]]** deaktiviert fast jede Isolation zwischen Container und Host: voller Geraet-Zugriff, kann Host-Dateisysteme mounten, kann Netzwerk-State des Nodes aendern. **Fast keine App braucht das.** Legitime Use-Cases sind sehr spezifisch: bestimmte CSI-Driver, System-Pods (kube-proxy in manchen Setups). Sonst eine Sicherheitskatastrophe, die nur darauf wartet zu passieren. `privileged: false` setzen (Default) und nur die spezifischen Linux-Capabilities via `securityContext.capabilities.add` erteilen.

Was ist ein hostPort und warum ist das eine Warnung?

**[[hostPort||eine Portnummer, an den Node gebunden, auf dem der Pod laeuft; reduziert Scheduler-Flexibilitaet]]** bindet einen Port auf dem Node, wo der Pod geschedulet wird. Zwei Folgen: **Eins**, nur ein Pod kann diesen Port auf einem Node nutzen (du kannst also nicht zwei Replicas auf demselben Node haben). **Zwei**, Scheduling wird schwerer, weil der Scheduler einen Node mit freiem Port finden muss. Fuers Exposen eines Pods im Cluster einen **Service** nutzen. Fuers Exposen nach aussen einen **Service** + **Ingress** + **LoadBalancer/NodePort**. `hostPort` ist selten die richtige Antwort.

Brauche ich sowohl Liveness- als auch Readiness-Probes?

Sie haben unterschiedliche Aufgaben. **[[Liveness||K8s fragt alle paar Sekunden, ob der Pod lebt, und startet ihn sonst neu]]** entscheidet ueber **Restart** des Containers. Fuer "der Prozess haengt, nur Restart hilft". **[[Readiness||K8s fragt alle paar Sekunden, ob der Pod bereit ist, Traffic zu erhalten]]** entscheidet, ob der Pod **dem Service hinzugefuegt** wird. Fuer "dieser Pod startet gerade oder fliesst aus und sollte jetzt keinen Traffic kriegen". Ein Pod kann am Leben, aber nicht ready sein. Die meisten Produktiv-Workloads sollten beide haben. Der Check sind zwei Endpoints (oder zwei TCP-Probes) auf unterschiedlichen Pfaden.

Warum warnt der Validator vor fehlenden Resource-Limits?

Weil **ohne Limits ein Pod den ganzen Node-Speicher oder die ganze CPU nehmen kann**. Mit Memory: OS-OOM-Killer schlaegt zu, killt einen zufaelligen Prozess, der Node spinnt, bis kubelet Pods evictet. Mit CPU: Noisy-Neighbor-Probleme, p99-Latenz-Spitzen. **Requests** sagen dem Scheduler "ich brauche mindestens so viel"; **Limits** deckeln den Verbrauch. Fuer vorhersehbares Verhalten beides setzen. Als Start: Limits = 2x Requests, dann aus echten Metriken tunen.

Mein YAML ist eine grosse Datei mit ---Trennern. Funktioniert das?

**Ja.** Der Validator nutzt js-yamls `loadAll` und meldet Issues pro Dokument mit Dokument-Index. Das ist das normale Pattern: Deployment + Service + ConfigMap zusammen in einer Datei. Scheitert ein Dokument am Parsen, scheitert die ganze Datei am Parsen, also Syntax zuerst fixen. Danach wird jedes Dokument unabhaengig geprueft, und die Cross-Checks (Service -> Pod `targetPort`) spannen ueber alle Dokumente.

Ersetzt das kube-score / kube-linter?

**Nein, es ist ein schneller Browser-Check.** `kube-score` und `kube-linter` sind vollwertige CLI-Tools mit viel mehr Regeln, Config-Dateien und CI-Faehigkeit. Nutze dieses Tool, waehrend du ein Manifest schreibst und sofortiges Feedback willst. Nutze `kube-score` / `kube-linter` fuer CI-Gates und volle Audits grosser Repos. Die beiden ergaenzen sich gut.

Kubernetes-YAML-Validator - kostenlos

Was dieser Validator macht

Kubernetes-Manifests sehen aus wie normales YAML, die echte Validierung lebt aber im Cluster: `kubectl apply` akzeptiert eine Datei, und erst spaeter, nachdem der API-Server sie gegen das Live-Schema und die Admission-Controller aufgeloest hat, merkst du, dass etwas nicht stimmt. Bis dahin laeuft moeglicherweise ein fehlkonfiguriertes Deployment in Produktion ohne Liveness-Probe, ohne Resource-Limits, mit einem Service, der nicht zu seinen Pods routet, weil der Label-Selector nicht passt.

Dieses Tool faengt die Top-30-Fehler vor dem Apply. Pastest ein K8s-Manifest, Multi-Dokument-Dateien mit `---`-Trennern inklusive. Der Validator parst jedes Dokument, erkennt die kind und fuehrt handgeschriebene Checks: fehlendes `apiVersion` oder `metadata.name`, Service-`targetPort`, der nicht am Pod existiert, Deployment-Selector, der nicht zu den Pod-Labels passt, `privileged: true`-Container, `:latest`-Tags, fehlende Resource-Limits und Probes, Ingress auf deprecated API-Version, PVCs ohne Storage-Groesse.

Alles laeuft im Browser. Kein Upload, kein kubectl, kein Cluster-Kontakt. Der Validator zieht keine Live-CRD-Schemas (die leben in deinem spezifischen Cluster), Custom Resources erscheinen also nur als Info.

So benutzt du es

Ein Sample oben waehlen, um den Output zu sehen, oder dein eigenes YAML ins Input-Panel einfuegen. Der Validator handhabt Multi-Dokument-Dateien mit `---`-Trennern.
Die Error-/Warning-/Info-Zaehler rechts lesen. Errors heissen, das Manifest wird vom API-Server abgelehnt oder verhaelt sich kaputt (fehlende Felder, Selector-Mismatches, ungueltige HPA). Warnings sind Best-Practice-Verstoesse (`:latest`-Tag, keine Resource-Limits, `privileged: true`). Info-Eintraege sind Vorschlaege.
Jedes Issue listet die kind, den Ressourcen-Namen, den Dokument-Index (welches Manifest in einer Multi-Doc-Datei), die Nachricht und einen Fix-Hinweis.
Typische Fixes: Liveness-/Readiness-Probes ergaenzen, Resource-Requests und -Limits setzen, hostPort entfernen, `:latest` durch gepinnten Tag ersetzen, Selector-matchLabels mit template metadata.labels ausrichten, HPA scaleTargetRef und eine gueltige Min-/Max-Replica-Range setzen.
Bei Services prueft der Validator cross, dass der `targetPort` tatsaechlich als `containerPort` am vom `spec.selector` gewaehlten Pod existiert. Faengt den Klassiker eines Services, der still ins Nichts routet.
Bei leerem Input oder YAML-Parse-Fehler bekommst du einen Parse-Fehler mit Zeilennummer aus js-yaml. Den zuerst fixen, dann leuchten die anderen Checks.
Copy klickt das Manifest in die Zwischenablage, dann in `kubectl apply -f -` einwerfen zum echten Deployen. Der Validator sendet dein YAML nirgendwohin.

Wann das nuetzlich ist

Sieben konkrete Situationen, in denen K8s-Fehler vor kubectl apply zu faengen echten Downtime spart:

Erstes Mal mit K8s. Die offiziellen Docs sind riesig, du hast noch keine Intuition fuer Pflichtfelder. Der Validator flaggt fehlendes `apiVersion`, `kind`, `metadata.name` sofort und gibt fuer jedes einen Fix-Hinweis.
Service, der ins Nichts verbindet. Klassischer Fehler: Service-Selector sagt `app: web`, Deployment-Template-Labels sagen `app: api`. K8s erzeugt den Service, der Service hat keine Endpoints, Traffic 503t. Der Validator sagt genau, welche Keys nicht passen.
Pre-Commit-Gate fuer K8s-Repos. Den Validator-Output-Check in deinen Review-Prozess stecken. PRs, die `privileged: true`, `:latest`, fehlende Limits, fehlende Probes einfuehren, werden vor dem Merge geflaggt.
GitOps-Repo-Health-Check. Ein Repo mit hunderten Manifests ist per Auge schwer zu auditieren. Datei einfuegen, alle Issues auf einmal sehen. Pro Datei wiederholen oder per Hand in CI verdrahten.
Migration von extensions/v1beta1-Ingress zu networking.k8s.io/v1. Der Validator flaggt die alte API-Version mit Einzeiler-Fix. Spart einen Deploy, der beim naechsten Cluster-Upgrade 404t.
CronJob ohne Limits auf einem kleinen Node. Ein naechtliches Backup ohne Memory-Limit kann den Node OOMen. Der Validator warnt vor jedem Container ohne Limits.
HPA fehlkonfiguriert, skaliert nur zwischen 1 und 1. Der Check faengt `minReplicas >= maxReplicas` (ungueltig) und fehlendes `scaleTargetRef` (macht HPA wirkungslos).

Fragen und Antworten

`kubectl apply --dry-run=server` schickt das Manifest an den API-Server und bekommt die Meinung des echten Clusters zurueck: Schema-gueltig, von Admission erlaubt, moeglich (z. B. Quota). Es ist der Goldstandard, braucht aber einen echten Cluster und deine kubeconfig. Dieser Validator macht client-seitige, schema-leichte, Best-Practice-Checks ohne Cluster. Sie ergaenzen sich: dieser fuer "bevor ich kubectl ueberhaupt aufmache", `--dry-run=server` fuer "akzeptiert mein Cluster das?".

BeispieleKlick zum Laden

YAML-Manifest(e)

Füge ein K8s-Manifest ein. Multi-Doc mit `---` ist okay

Fehler

Warnungen

Infos

Dokumente: 2 · erkannte Kinds: Deployment, Service

Alles sauber - keine Probleme gefunden

Der Validator hat nichts beanstandet. Sicher für `kubectl apply`

Tipps

Der Validator prüft die Top-30-Regeln. Für volle Schema-Validierung gegen deinen Cluster: `kubectl apply --dry-run=server`
Pinne Images auf eine Version oder ein Digest (`@sha256:...`). `:latest` ist ein Rezept für unerwartete Restarts
Setze immer Resource Requests und Limits. Ohne sie kann ein Pod einen Node lahmlegen

Was dieser Validator macht

So benutzt du es

Ein Sample oben waehlen, um den Output zu sehen, oder dein eigenes YAML ins Input-Panel einfuegen. Der Validator handhabt Multi-Dokument-Dateien mit `---`-Trennern.

Die Error-/Warning-/Info-Zaehler rechts lesen. Errors heissen, das Manifest wird vom API-Server abgelehnt oder verhaelt sich kaputt (fehlende Felder, Selector-Mismatches, ungueltige HPA). Warnings sind Best-Practice-Verstoesse (`:latest`-Tag, keine Resource-Limits, `privileged: true`). Info-Eintraege sind Vorschlaege.

Jedes Issue listet die kind, den Ressourcen-Namen, den Dokument-Index (welches Manifest in einer Multi-Doc-Datei), die Nachricht und einen Fix-Hinweis.

Typische Fixes: Liveness-/Readiness-Probes ergaenzen, Resource-Requests und -Limits setzen, hostPort entfernen, `:latest` durch gepinnten Tag ersetzen, Selector-matchLabels mit template metadata.labels ausrichten, HPA scaleTargetRef und eine gueltige Min-/Max-Replica-Range setzen.

Bei Services prueft der Validator cross, dass der `targetPort` tatsaechlich als `containerPort` am vom `spec.selector` gewaehlten Pod existiert. Faengt den Klassiker eines Services, der still ins Nichts routet.

Bei leerem Input oder YAML-Parse-Fehler bekommst du einen Parse-Fehler mit Zeilennummer aus js-yaml. Den zuerst fixen, dann leuchten die anderen Checks.

Copy klickt das Manifest in die Zwischenablage, dann in `kubectl apply -f -` einwerfen zum echten Deployen. Der Validator sendet dein YAML nirgendwohin.

Wann das nuetzlich ist

Sieben konkrete Situationen, in denen K8s-Fehler vor kubectl apply zu faengen echten Downtime spart:

Erstes Mal mit K8s. Die offiziellen Docs sind riesig, du hast noch keine Intuition fuer Pflichtfelder. Der Validator flaggt fehlendes `apiVersion`, `kind`, `metadata.name` sofort und gibt fuer jedes einen Fix-Hinweis.
Service, der ins Nichts verbindet. Klassischer Fehler: Service-Selector sagt `app: web`, Deployment-Template-Labels sagen `app: api`. K8s erzeugt den Service, der Service hat keine Endpoints, Traffic 503t. Der Validator sagt genau, welche Keys nicht passen.
Pre-Commit-Gate fuer K8s-Repos. Den Validator-Output-Check in deinen Review-Prozess stecken. PRs, die `privileged: true`, `:latest`, fehlende Limits, fehlende Probes einfuehren, werden vor dem Merge geflaggt.
GitOps-Repo-Health-Check. Ein Repo mit hunderten Manifests ist per Auge schwer zu auditieren. Datei einfuegen, alle Issues auf einmal sehen. Pro Datei wiederholen oder per Hand in CI verdrahten.
Migration von extensions/v1beta1-Ingress zu networking.k8s.io/v1. Der Validator flaggt die alte API-Version mit Einzeiler-Fix. Spart einen Deploy, der beim naechsten Cluster-Upgrade 404t.
CronJob ohne Limits auf einem kleinen Node. Ein naechtliches Backup ohne Memory-Limit kann den Node OOMen. Der Validator warnt vor jedem Container ohne Limits.
HPA fehlkonfiguriert, skaliert nur zwischen 1 und 1. Der Check faengt `minReplicas >= maxReplicas` (ungueltig) und fehlendes `scaleTargetRef` (macht HPA wirkungslos).

Fragen und Antworten

Kubernetes-YAML-Validator

Was dieser Validator macht

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

GitHub-Actions-YAML-Builder

GitLab-CI-YAML-Builder

Dockerfile-Linter

.editorconfig-Generator

Docker-Compose-Builder

Nginx-Config-Snippet-Builder

Kubernetes-YAML-Validator

Was dieser Validator macht

So benutzt du es

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

GitHub-Actions-YAML-Builder

GitLab-CI-YAML-Builder

Dockerfile-Linter

.editorconfig-Generator

Docker-Compose-Builder

Nginx-Config-Snippet-Builder