对比决策指南
kubectl 与 Kubernetes MCP 对比
明确 shell 集群检查用 kubectl;受限工具目录能改善治理时使用 Kubernetes MCP。
接口决策只读kubectlKubernetes MCP
先看决策矩阵
基于官方文档这张表汇总当前注册表和官方来源,不代表两侧已经在同一环境中完成端到端对跑。真正选择前,请用同一个安全样例验证。
| 决策条件 | kubectl | Kubernetes MCP |
|---|---|---|
| 输出合同 | 结构化格式:json, yaml, jsonpath, go-template;标志:-o json, -o yaml。 | 由服务端工具 schema 定义输入与输出;具体稳定性取决于所连接的 MCP Server。 |
| 认证与身份 | 需要认证:kubeconfig, service account token, exec credential plugin。审计任务使用专用 context,RBAC 仅授予 get、list 和 watch。 | 通常由 MCP Client 或 Server 中介身份与权限;仍需核对实际服务的授权范围。 |
| 可靠性证据 | 证据状态为 docs-verified,文档检查于 2026-07-10;尚未记录独立执行版本。 | Typed tool 有助于约束参数,但可用性还取决于 Server、会话和实现;本页不是端到端实测。 |
| 更适合 | 使用结构化输出检查 Kubernetes,并对每个集群变更命令设置确认门槛。 | 适合需要精选集群工具集和集中访问中介的操作方。 |
当前建议
审计使用只读 kubectl 或等价只读 MCP toolset;按身份和治理选择,不按便利性。
目标、输入与输出
在 Agent 选择命令前,先明确要交付的结果和证据。
kubectl 与 Kubernetes MCP 对比:安全执行步骤
每一步都要在已声明的边界内执行,验证输出后再继续。
审批点与回滚
在列出的决策点停下,并让恢复方法始终紧跟操作。
选 CLI、MCP 还是 API?
根据执行位置、身份、输出合同与权限边界选接口。
建议方案
审计使用只读 kubectl 或等价只读 MCP toolset;按身份和治理选择,不按便利性。
官方证据与参考
执行前使用这些官方或上游来源确认当前命令行为。