Vérifie-t-il contre le schéma API Kubernetes live ?

**Non.** Le validateur code en dur les 30 règles principales pour les kinds les plus courants. Il ne télécharge pas les CRDs (Custom Resource Definitions) de votre cluster, donc tout au-delà des kinds standards apparaît seulement en info. Pour une validation niveau schéma complète contre votre cluster spécifique, utilisez `kubeval`, `kube-score`, ou `kubectl apply --dry-run=server`. Pour un scoring de bonnes pratiques très approfondi, `kube-linter` et `kube-score` sont de bons compagnons open-source.

Pourquoi "selector ne matche pas les labels de template" est-il si courant ?

Parce que la relation n'est **pas évidente pour les gens nouveaux à K8s**. `spec.selector.matchLabels` dans un Deployment dit au controller quels pods ce Deployment possède. `spec.template.metadata.labels` est ce que le controller stampe sur chaque pod qu'il crée. S'ils ne sont pas d'accord, le Deployment crée des pods que **le propre selector du Deployment ne peut pas trouver**, et le controller tourne pour toujours à en créer plus. Pire, si un Service pointe sur le même selector, le trafic va vers des endpoints fantômes. Le fix : chaque clé dans matchLabels doit aussi être dans les labels de template, avec la même valeur.

Qu'est-ce qui ne va pas avec :latest ?

Parce que **:latest est un tag mutable** : le contenu de l'image change au fil du temps. Un restart de pod peut puller un binaire différent de celui avec lequel il tournait à l'origine, et ça c'est une surprise que personne ne veut en prod à 3h du mat. Épinglez à soit une **version sémantique** (`nginx:1.27-alpine`), soit, pour la reproductibilité ultime, un **digest** (`nginx@sha256:abc...`). Combiné avec `imagePullPolicy: IfNotPresent` sur les tags épinglés, les déploiements sont déterministes et plus rapides.

Qu'est-ce qui ne va pas avec privileged: true ?

**[[privileged||le conteneur tourne avec les capacités complètes du host, y compris l'accès direct aux devices ; très peu d'usages légitimes]]** désactive presque toute l'isolation entre le conteneur et le host : accès complet aux devices, peut monter les filesystems host, peut changer l'état réseau du node. **Presque aucune app n'en a besoin.** Les usages légitimes sont très spécifiques : certains drivers CSI, pods système (kube-proxy dans certains setups). Pour tout le reste c'est un désastre sécurité en attente. Mettez `privileged: false` (le défaut) et accordez seulement les capabilities Linux spécifiques dont vous avez besoin via `securityContext.capabilities.add`.

Qu'est-ce qu'un hostPort et pourquoi c'est un avertissement ?

**[[hostPort||un numéro de port bindé au node sur lequel le pod tourne ; réduit la flexibilité du scheduler]]** bind un port sur le node où le pod est schedulé. Deux conséquences : **Un**, seul un pod peut utiliser ce port sur un node donné (vous ne pouvez donc pas avoir deux réplicas sur le même node). **Deux**, le scheduling devient plus dur parce que le scheduler doit choisir un node où le port est libre. Pour exposer un pod au cluster, utilisez un **Service**. Pour exposer à l'extérieur, utilisez un **Service** + **Ingress** + **LoadBalancer/NodePort**. `hostPort` est rarement la bonne réponse.

Ai-je besoin des deux probes liveness et readiness ?

Elles servent des buts différents. **[[liveness||K8s demande toutes les quelques secondes si le pod est vivant et devrait être redémarré sinon]]** décide s'il faut **redémarrer** le conteneur. Utilisez pour "le process est coincé et seul un redémarrage aide". **[[readiness||K8s demande toutes les quelques secondes si le pod est prêt à recevoir du trafic]]** décide si le pod est **ajouté au Service**. Utilisez pour "ce pod démarre / draine et ne devrait pas recevoir de trafic maintenant". Un pod peut être vivant mais pas prêt. La plupart des workloads de prod devraient avoir les deux. La vérif c'est deux endpoints (ou deux probes TCP) sur des paths différents.

Pourquoi le validateur avertit sur l'absence de resource limits ?

Parce que **sans limits un pod peut prendre toute la mémoire ou tout le CPU du node**. Avec la mémoire : l'OS OOM-killer entre en action, tue un process aléatoire, le node se comporte mal jusqu'à ce que le kubelet évince les pods. Avec le CPU : problèmes de voisins bruyants, pics de latence p99. Les **Requests** disent au scheduler "j'ai besoin d'au moins ça" ; les **limits** plafonnent l'usage. Pour un comportement prévisible mettez les deux. Pour démarrer : limits = 2x requests, puis tunez à partir des vraies métriques.

Mon YAML est un gros fichier avec séparateurs ---. Ça marche ?

**Oui.** Le validateur utilise le `loadAll` de js-yaml et rapporte les issues par document avec l'index de document. C'est le pattern normal : Deployment + Service + ConfigMap ensemble dans un fichier. Si n'importe quel document échoue le parse, tout le fichier échoue le parse, corrigez donc la syntaxe d'abord. Après ça, chaque document est vérifié indépendamment et les cross-checks (Service -> pod `targetPort`) couvrent tous les documents.

Ça remplace kube-score / kube-linter ?

**Non, c'est une vérif rapide côté navigateur.** `kube-score` et `kube-linter` sont des outils CLI full-featured avec beaucoup plus de règles, fichiers de configuration, et la capacité de tourner en CI. Utilisez cet outil pendant que vous écrivez un manifest et voulez du feedback immédiat. Utilisez `kube-score` / `kube-linter` pour les gates CI et les audits complets de grands repos. Les deux se complètent bien.

Validateur YAML Kubernetes - gratuit

Ce que fait ce validateur

Les manifests Kubernetes ressemblent à du YAML normal, mais la vraie validation vit dans le cluster : `kubectl apply` accepte un fichier et seulement plus tard, après que l'API server le résout contre le schéma live et les admission controllers, vous découvrez que quelque chose ne va pas. À ce moment-là vous avez peut-être un Deployment mal configuré qui tourne en production sans liveness probe, sans resource limits, et un Service qui ne route pas vraiment vers ses pods parce que le label selector ne matche pas.

Cet outil attrape les 30 erreurs principales avant que vous appliquiez. Collez n'importe quel manifest K8s, fichiers multi-documents avec séparateurs `---` inclus. Le validateur parse chaque document, détecte le kind, et lance des vérifs écrites à la main : `apiVersion` ou `metadata.name` manquant, Service `targetPort` qui n'existe pas sur le pod, Deployment selector qui ne matche pas les labels de pod, conteneurs `privileged: true`, tags `:latest`, resource limits et probes manquants, Ingress sur une version API dépréciée, PVC sans taille de stockage.

Tout tourne dans votre navigateur. Pas d'upload, pas de kubectl, pas de contact cluster. Le validateur ne pulle pas les schémas CRD live (ils vivent dans votre cluster spécifique), les ressources custom apparaissent donc seulement en info.

Mode d'emploi

Choisissez un exemple en haut pour voir à quoi la sortie ressemble, ou collez votre propre YAML dans le panneau d'entrée. Le validateur gère les fichiers multi-documents avec séparateurs `---`.
Lisez les compteurs erreur / avertissement / info sur la droite. Erreurs signifient que le manifest sera rejeté par l'API server ou se comportera cassé (champs manquants, selectors qui ne matchent pas, HPA invalide). Avertissements sont des violations de bonnes pratiques (tag `:latest`, pas de resource limits, `privileged: true`). Les items Info sont des suggestions.
Chaque issue liste le kind, le nom de ressource, l'index de document (quel manifest dans un fichier multi-doc), le message, et un indice de fix.
Fixes courants couverts : ajouter liveness/readiness probes, régler les resource requests et limits, retirer hostPort, remplacer `:latest` par un tag épinglé, aligner selector matchLabels avec template metadata.labels, régler HPA scaleTargetRef et une plage de réplicas min/max valide.
Pour les Services, le validateur cross-check que le `targetPort` existe vraiment comme `containerPort` sur le pod sélectionné par `spec.selector`. Ça attrape la classique erreur d'un Service qui route silencieusement vers rien.
Quand l'entrée est vide ou que le parsing YAML échoue, vous obtenez une erreur de parse avec le numéro de ligne de js-yaml. Corrigez ça d'abord et le reste des vérifs s'allume.
Cliquez sur Copier pour mettre le manifest dans votre presse-papiers, puis mettez-le dans `kubectl apply -f -` pour réellement déployer. Le validateur n'envoie jamais votre YAML nulle part.

Quand cet outil est utile

Sept situations concrètes où attraper les erreurs K8s avant kubectl apply économise du vrai downtime :

Première fois à toucher K8s. La doc officielle est énorme et vous n'avez pas encore l'intuition pour quels champs sont obligatoires. Le validateur flague `apiVersion`, `kind`, `metadata.name` manquants immédiatement et donne un indice de fix pour chacun.
Service qui se connecte à rien. La classique erreur : Service selector dit `app: web`, labels de template Deployment disent `app: api`. K8s crée le Service, le Service n'a pas d'endpoints, le trafic 503. Le validateur dit exactement quelles clés ne matchent pas.
Gate pre-commit pour les repos K8s. Branchez la vérif de sortie du validateur dans votre process de review. Les PRs qui introduisent `privileged: true`, `:latest`, limits manquants, probes manquants sont flagués avant merge.
Vérif de santé d'un repo GitOps. Un repo avec des centaines de manifests est dur à auditer à l'œil. Collez un fichier, voyez toutes les issues d'un coup. Répétez par fichier ou câblez dans CI à la main.
Migration de Ingress extensions/v1beta1 vers networking.k8s.io/v1. Le validateur flague l'ancienne version d'API avec un fix d'une ligne. Économise un déploiement qui 404 au prochain upgrade de cluster.
CronJob sans limits qui tourne sur un petit node. Un backup nocturne sans memory limit peut OOM le node. Le validateur avertit pour chaque conteneur sans limits.
HPA mal configuré pour ne scaler qu'entre 1 et 1. La vérif attrape `minReplicas >= maxReplicas` (qui est invalide) et `scaleTargetRef` manquant (qui fait que le HPA ne fait rien).

Questions fréquentes

`kubectl apply --dry-run=server` envoie le manifest à l'API server et récupère l'opinion du vrai cluster : schéma valide, autorisé par admission, possible (par exemple quota). C'est le gold standard mais a besoin d'un vrai cluster et de votre kubeconfig. Ce validateur fait des vérifs côté client, légères en schéma, bonnes pratiques sans cluster. Ils sont complémentaires : ce dernier pour "avant que j'ouvre même kubectl", `--dry-run=server` pour "mon cluster va-t-il l'accepter".

Ce que fait ce validateur

Mode d'emploi

Choisissez un exemple en haut pour voir à quoi la sortie ressemble, ou collez votre propre YAML dans le panneau d'entrée. Le validateur gère les fichiers multi-documents avec séparateurs `---`.

Lisez les compteurs erreur / avertissement / info sur la droite. Erreurs signifient que le manifest sera rejeté par l'API server ou se comportera cassé (champs manquants, selectors qui ne matchent pas, HPA invalide). Avertissements sont des violations de bonnes pratiques (tag `:latest`, pas de resource limits, `privileged: true`). Les items Info sont des suggestions.

Chaque issue liste le kind, le nom de ressource, l'index de document (quel manifest dans un fichier multi-doc), le message, et un indice de fix.

Fixes courants couverts : ajouter liveness/readiness probes, régler les resource requests et limits, retirer hostPort, remplacer `:latest` par un tag épinglé, aligner selector matchLabels avec template metadata.labels, régler HPA scaleTargetRef et une plage de réplicas min/max valide.

Pour les Services, le validateur cross-check que le `targetPort` existe vraiment comme `containerPort` sur le pod sélectionné par `spec.selector`. Ça attrape la classique erreur d'un Service qui route silencieusement vers rien.

Quand l'entrée est vide ou que le parsing YAML échoue, vous obtenez une erreur de parse avec le numéro de ligne de js-yaml. Corrigez ça d'abord et le reste des vérifs s'allume.

Cliquez sur Copier pour mettre le manifest dans votre presse-papiers, puis mettez-le dans `kubectl apply -f -` pour réellement déployer. Le validateur n'envoie jamais votre YAML nulle part.

Quand cet outil est utile

Sept situations concrètes où attraper les erreurs K8s avant kubectl apply économise du vrai downtime :

Première fois à toucher K8s. La doc officielle est énorme et vous n'avez pas encore l'intuition pour quels champs sont obligatoires. Le validateur flague `apiVersion`, `kind`, `metadata.name` manquants immédiatement et donne un indice de fix pour chacun.
Service qui se connecte à rien. La classique erreur : Service selector dit `app: web`, labels de template Deployment disent `app: api`. K8s crée le Service, le Service n'a pas d'endpoints, le trafic 503. Le validateur dit exactement quelles clés ne matchent pas.
Gate pre-commit pour les repos K8s. Branchez la vérif de sortie du validateur dans votre process de review. Les PRs qui introduisent `privileged: true`, `:latest`, limits manquants, probes manquants sont flagués avant merge.
Vérif de santé d'un repo GitOps. Un repo avec des centaines de manifests est dur à auditer à l'œil. Collez un fichier, voyez toutes les issues d'un coup. Répétez par fichier ou câblez dans CI à la main.
Migration de Ingress extensions/v1beta1 vers networking.k8s.io/v1. Le validateur flague l'ancienne version d'API avec un fix d'une ligne. Économise un déploiement qui 404 au prochain upgrade de cluster.
CronJob sans limits qui tourne sur un petit node. Un backup nocturne sans memory limit peut OOM le node. Le validateur avertit pour chaque conteneur sans limits.
HPA mal configuré pour ne scaler qu'entre 1 et 1. La vérif attrape `minReplicas >= maxReplicas` (qui est invalide) et `scaleTargetRef` manquant (qui fait que le HPA ne fait rien).

Questions fréquentes

Validateur YAML Kubernetes

Ce que fait ce validateur

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Builder YAML GitHub Actions

Builder YAML GitLab CI

Linter Dockerfile

Générateur .editorconfig

Builder docker-compose

Builder config Nginx

Validateur YAML Kubernetes

Ce que fait ce validateur

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Builder YAML GitHub Actions

Builder YAML GitLab CI

Linter Dockerfile

Générateur .editorconfig

Builder docker-compose

Builder config Nginx