¿Comprueba contra el schema vivo de la API Kubernetes?

**No.** El validador codifica a mano las 30 reglas principales para los kinds más comunes. No descarga CRDs (Custom Resource Definitions) de tu cluster, así que cualquier cosa más allá de los kinds estándar se muestra solo como info. Para validación completa a nivel de schema contra tu cluster específico, usa `kubeval`, `kube-score` o `kubectl apply --dry-run=server`. Para puntuación muy exhaustiva de buenas prácticas, `kube-linter` y `kube-score` son buenos compañeros open source.

¿Por qué "selector no coincide con las labels del template" es tan común?

Porque la relación **no es obvia para gente nueva en K8s**. `spec.selector.matchLabels` en un Deployment le dice al controller qué pods posee este Deployment. `spec.template.metadata.labels` es lo que el controller estampa en cada pod que crea. Si no concuerdan, el Deployment crea pods que **el propio selector del Deployment no puede encontrar**, y el controller gira eternamente creando más. Peor, si un Service apunta al mismo selector, el tráfico va a endpoints fantasma. El arreglo: cada clave en matchLabels también debe estar en las labels del template, con el mismo valor.

¿Por qué :latest es un warning?

Porque **:latest es un tag mutable**: el contenido de la imagen cambia con el tiempo. Un reinicio de pod puede tirar de un binario distinto al que ejecutó originalmente, y esa es una sorpresa que nadie quiere en producción a las 3 de la mañana. Fija a una **versión semántica** (`nginx:1.27-alpine`) o, para reproducibilidad definitiva, **un digest** (`nginx@sha256:abc...`). Combinado con `imagePullPolicy: IfNotPresent` en tags fijos, los despliegues son deterministas y más rápidos.

¿Qué tiene de malo privileged: true?

**[[privileged||el contenedor corre con todas las capabilities del host, incluido acceso directo a dispositivos; muy pocos usos legítimos]]** deshabilita casi todo aislamiento entre el contenedor y el host: acceso completo a dispositivos, puede montar filesystems del host, puede cambiar el estado de red del nodo. **Casi ninguna app lo necesita.** Los usos legítimos son muy específicos: ciertos drivers CSI, pods de sistema (kube-proxy en algunos setups). Para todo lo demás es un desastre de seguridad esperando a pasar. Pon `privileged: false` (por defecto) y concede solo las capabilities Linux específicas que necesites vía `securityContext.capabilities.add`.

¿Qué es un hostPort y por qué es un warning?

**[[hostPort||un número de puerto enlazado al nodo en el que corre el pod; reduce la flexibilidad del scheduler]]** enlaza un puerto en el nodo donde se programa el pod. Dos consecuencias: **Una**, solo un pod puede usar ese puerto en un nodo dado (así que no puedes tener dos replicas en el mismo nodo). **Dos**, programar se vuelve más duro porque el scheduler debe escoger un nodo donde el puerto esté libre. Para exponer un pod al cluster, usa un **Service**. Para exponer al exterior, usa un **Service** + **Ingress** + **LoadBalancer/NodePort**. `hostPort` rara vez es la respuesta correcta.

¿Necesito tanto liveness como readiness probes?

Sirven a propósitos distintos. **[[liveness||K8s pregunta cada pocos segundos si el pod está vivo y debería reiniciarse si no]]** decide si **reiniciar** el contenedor. Úsalo para "el proceso está atascado y solo un reinicio ayuda". **[[readiness||K8s pregunta cada pocos segundos si el pod está listo para recibir tráfico]]** decide si el pod se **añade al Service**. Úsalo para "este pod está arrancando / drenando y no debería recibir tráfico ahora mismo". Un pod puede estar vivo pero no listo. La mayoría de workloads de producción debería tener ambos. La comprobación son dos endpoints (o dos sondas TCP) en rutas distintas.

¿Por qué el validador avisa sobre falta de resource limits?

Porque **sin limits un pod puede llevarse toda la memoria o CPU del nodo**. Con memoria: el OOM-killer del SO entra, mata un proceso aleatorio, el nodo se porta mal hasta que el kubelet evicta pods. Con CPU: problemas de vecinos ruidosos, picos de latencia p99. Los **requests** dicen al scheduler "necesito al menos esto"; los **limits** capan el uso. Para comportamiento predecible configura ambos. Como punto de partida: limits = 2x requests, luego ajusta desde métricas reales.

Mi YAML es un gran fichero con separadores ---. ¿Funciona?

**Sí.** El validador usa `loadAll` de js-yaml y reporta issues por documento con el índice del documento. Este es el patrón normal: Deployment + Service + ConfigMap juntos en un fichero. Si cualquier documento individual falla al parsear, el fichero entero falla al parsear, así que arregla la sintaxis primero. Tras eso, cada documento se comprueba independientemente y las comprobaciones cruzadas (Service -> pod `targetPort`) abarcan todos los documentos.

¿Reemplaza esto a kube-score / kube-linter?

**No, es una comprobación rápida en navegador.** `kube-score` y `kube-linter` son herramientas CLI con características completas, muchas más reglas, ficheros de configuración y capacidad de correr en CI. Usa esta herramienta mientras escribes un manifest y quieres feedback inmediato. Usa `kube-score` / `kube-linter` para puertas de CI y auditorías completas de repos grandes. Las dos se complementan bien.

Validador de YAML de Kubernetes - gratis

MuestrasHaz clic para cargar

Manifiesto(s) YAML

Pega un manifiesto de K8s. Multi-doc con `---` está bien

Errores

Avisos

Info

Documentos: 2 · kinds reconocidos: Deployment, Service

Todo limpio - sin problemas encontrados

El validador no marcó nada. Seguro para `kubectl apply`

Consejos

El validador comprueba las 30 reglas principales. Para validación completa de esquema contra tu cluster: `kubectl apply --dry-run=server`
Fija las imágenes a una versión o a un digest (`@sha256:...`). `:latest` es una receta para reinicios sorpresa
Establece siempre requests y limits de recursos. Sin ellos, un pod puede tumbar un nodo

Qué hace este validador

Los manifests de Kubernetes parecen YAML normal, pero la validación real vive dentro del cluster: `kubectl apply` acepta un fichero y solo más tarde, tras que el API server lo resuelva contra el schema en vivo y los admission controllers, descubres que algo está mal. Para entonces puedes tener un Deployment mal configurado corriendo en producción sin liveness probe, sin resource limits, y un Service que no enruta a sus pods porque el label selector no coincide.

Esta herramienta pilla los 30 errores principales antes de que apliques. Pega cualquier manifest K8s, ficheros multi-documento con separadores `---` incluidos. El validador parsea cada documento, detecta el kind y ejecuta comprobaciones hechas a mano: `apiVersion` o `metadata.name` ausentes, Service `targetPort` que no existe en el pod, selector de Deployment que no coincide con las labels del pod, contenedores `privileged: true`, tags `:latest`, resource limits y probes ausentes, Ingress en una versión de API obsoleta, PVCs sin tamaño de almacenamiento.

Todo corre en tu navegador. Sin subidas, sin kubectl, sin contacto con cluster. El validador no descarga schemas de CRD en vivo (esos viven en tu cluster específico), así que los recursos custom se muestran solo como info.

Cómo usarlo

Elige una muestra arriba para ver cómo se ve la salida, o pega tu propio YAML en el panel de entrada. El validador gestiona ficheros multi-documento con separadores `---`.
Lee los contadores de error / warning / info a la derecha. Los errores significan que el manifest será rechazado por el API server o se comportará roto (campos ausentes, selectores no coincidentes, HPA inválido). Los warnings son violaciones de buenas prácticas (tag `:latest`, sin resource limits, `privileged: true`). Los info son sugerencias.
Cada issue lista el kind, el nombre del recurso, el índice del documento (qué manifest en un fichero multi-doc), el mensaje y una pista de arreglo.
Arreglos comunes cubiertos: añadir liveness/readiness probes, configurar resource requests y limits, quitar hostPort, reemplazar `:latest` por un tag fijo, alinear selector matchLabels con template metadata.labels, configurar HPA scaleTargetRef y un rango válido de min/max replicas.
Para Services, el validador comprueba cruzadamente que el `targetPort` existe realmente como `containerPort` en el pod seleccionado por `spec.selector`. Esto pilla el error clásico de un Service que enruta silenciosamente a nada.
Cuando la entrada está vacía o el parseo YAML falla, recibes un error de parseo con el número de línea de js-yaml. Arregla eso primero y el resto de comprobaciones se encienden.
Pulsa Copiar para poner el manifest en tu portapapeles, luego mételo en `kubectl apply -f -` para desplegar de verdad. El validador nunca envía tu YAML a ningún sitio.

Cuándo es útil

Siete situaciones concretas en las que pillar errores K8s antes de kubectl apply ahorra downtime real:

Primera vez tocando K8s. La documentación oficial es enorme y todavía no tienes intuición de qué campos son obligatorios. El validador marca `apiVersion`, `kind`, `metadata.name` ausentes inmediatamente y da una pista de arreglo para cada uno.
Service que no conecta con nada. El error clásico: el selector del Service dice `app: web`, las labels del template del Deployment dicen `app: api`. K8s crea el Service, el Service no tiene endpoints, el tráfico devuelve 503s. El validador dice exactamente qué claves no coinciden.
Puerta pre-commit para repos K8s. Enchufa la comprobación de salida del validador en tu proceso de revisión. Los PRs que introducen `privileged: true`, `:latest`, limits ausentes, probes ausentes se marcan antes del merge.
Comprobación de salud de repo GitOps. Un repo con cientos de manifests es difícil de auditar a ojo. Pega un fichero, ve todas las issues a la vez. Repite por fichero o conéctalo a CI a mano.
Migración de Ingress extensions/v1beta1 a networking.k8s.io/v1. El validador marca la versión de API antigua con un arreglo de una línea. Ahorra un deploy que devuelve 404 la próxima vez que el cluster se actualiza.
CronJob sin limits corriendo en un nodo pequeño. Un backup nocturno sin memory limit puede OOM el nodo. El validador avisa sobre cada contenedor sin limits.
HPA mal configurado para escalar solo entre 1 y 1. La comprobación pilla `minReplicas >= maxReplicas` (lo cual es inválido) y `scaleTargetRef` ausente (lo cual hace que el HPA no haga nada).

Preguntas y respuestas

`kubectl apply --dry-run=server` envía el manifest al API server y recibe la opinión del cluster real: schema válido, permitido por admission, posible (p. ej. cuota). Es el estándar de oro pero necesita un cluster real y tu kubeconfig. Este validador hace comprobaciones client-side, ligeras en schema, de buenas prácticas sin un cluster. Son complementarias: este para "antes de abrir kubectl siquiera", `--dry-run=server` para "¿mi cluster lo va a aceptar?".

Qué hace este validador

Cómo usarlo

Elige una muestra arriba para ver cómo se ve la salida, o pega tu propio YAML en el panel de entrada. El validador gestiona ficheros multi-documento con separadores `---`.

Lee los contadores de error / warning / info a la derecha. Los errores significan que el manifest será rechazado por el API server o se comportará roto (campos ausentes, selectores no coincidentes, HPA inválido). Los warnings son violaciones de buenas prácticas (tag `:latest`, sin resource limits, `privileged: true`). Los info son sugerencias.

Cada issue lista el kind, el nombre del recurso, el índice del documento (qué manifest en un fichero multi-doc), el mensaje y una pista de arreglo.

Arreglos comunes cubiertos: añadir liveness/readiness probes, configurar resource requests y limits, quitar hostPort, reemplazar `:latest` por un tag fijo, alinear selector matchLabels con template metadata.labels, configurar HPA scaleTargetRef y un rango válido de min/max replicas.

Para Services, el validador comprueba cruzadamente que el `targetPort` existe realmente como `containerPort` en el pod seleccionado por `spec.selector`. Esto pilla el error clásico de un Service que enruta silenciosamente a nada.

Cuando la entrada está vacía o el parseo YAML falla, recibes un error de parseo con el número de línea de js-yaml. Arregla eso primero y el resto de comprobaciones se encienden.

Pulsa Copiar para poner el manifest en tu portapapeles, luego mételo en `kubectl apply -f -` para desplegar de verdad. El validador nunca envía tu YAML a ningún sitio.

Cuándo es útil

Siete situaciones concretas en las que pillar errores K8s antes de kubectl apply ahorra downtime real:

Primera vez tocando K8s. La documentación oficial es enorme y todavía no tienes intuición de qué campos son obligatorios. El validador marca `apiVersion`, `kind`, `metadata.name` ausentes inmediatamente y da una pista de arreglo para cada uno.
Service que no conecta con nada. El error clásico: el selector del Service dice `app: web`, las labels del template del Deployment dicen `app: api`. K8s crea el Service, el Service no tiene endpoints, el tráfico devuelve 503s. El validador dice exactamente qué claves no coinciden.
Puerta pre-commit para repos K8s. Enchufa la comprobación de salida del validador en tu proceso de revisión. Los PRs que introducen `privileged: true`, `:latest`, limits ausentes, probes ausentes se marcan antes del merge.
Comprobación de salud de repo GitOps. Un repo con cientos de manifests es difícil de auditar a ojo. Pega un fichero, ve todas las issues a la vez. Repite por fichero o conéctalo a CI a mano.
Migración de Ingress extensions/v1beta1 a networking.k8s.io/v1. El validador marca la versión de API antigua con un arreglo de una línea. Ahorra un deploy que devuelve 404 la próxima vez que el cluster se actualiza.
CronJob sin limits corriendo en un nodo pequeño. Un backup nocturno sin memory limit puede OOM el nodo. El validador avisa sobre cada contenedor sin limits.
HPA mal configurado para escalar solo entre 1 y 1. La comprobación pilla `minReplicas >= maxReplicas` (lo cual es inválido) y `scaleTargetRef` ausente (lo cual hace que el HPA no haga nada).

Preguntas y respuestas

Validador de YAML de Kubernetes

Qué hace este validador

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Constructor de YAML para GitHub Actions

Constructor de YAML para GitLab CI

Linter de Dockerfile

Generador de .editorconfig

Constructor de Docker Compose

Generador de snippets de Nginx

Validador de YAML de Kubernetes

Qué hace este validador

Cómo usarlo

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Constructor de YAML para GitHub Actions

Constructor de YAML para GitLab CI

Linter de Dockerfile

Generador de .editorconfig

Constructor de Docker Compose

Generador de snippets de Nginx