容器生命周期钩子

本页面介绍了 kubelet 管理的容器如何使用容器生命周期钩子框架来运行由其管理生命周期中的事件触发的代码。

概述

类似于许多具有组件生命周期钩子的编程语言框架（例如 Angular），Kubernetes 为容器提供了生命周期钩子。这些钩子使容器能够感知其管理生命周期中的事件，并在执行相应的生命周期钩子时运行在处理程序中实现的代码。

容器钩子

有两个钩子暴露给容器

PostStart

此钩子在创建容器后立即执行。但是，不能保证钩子会在容器 ENTRYPOINT 之前执行。没有参数传递给处理程序。

PreStop

由于 API 请求或管理事件（例如活跃性/启动探针失败、抢占、资源争用等），此钩子在容器终止之前立即调用。如果容器已处于终止或完成状态，则对 PreStop 钩子的调用将失败，并且钩子必须在可以发送停止容器的 TERM 信号之前完成。Pod 的终止宽限期倒计时在执行 PreStop 钩子之前开始，因此无论处理程序的结果如何，容器最终都会在 Pod 的终止宽限期内终止。没有参数传递给处理程序。

有关终止行为的更详细描述，请参见 Pod 的终止。

钩子处理程序实现

容器可以通过实现和注册该钩子的处理程序来访问钩子。可以为容器实现三种类型的钩子处理程序

Exec - 在容器的 cgroup 和命名空间内执行特定命令，例如 pre-stop.sh。命令消耗的资源计入容器。
HTTP - 对容器上的特定端点执行 HTTP 请求。
Sleep - 将容器暂停指定的时间。这是一个默认启用 PodLifecycleSleepAction 特性门控的 beta 级特性。

注意

如果要为 Sleep 生命周期钩子设置零秒的睡眠时间（实际上是空操作），请启用 PodLifecycleSleepActionAllowZero 特性门控。

钩子处理程序执行

当调用容器生命周期管理钩子时，Kubernetes 管理系统根据钩子操作执行处理程序，httpGet、tcpSocket 和 sleep 由 kubelet 进程执行，而 exec 在容器中执行。

PostStart 钩子处理程序调用在创建容器时启动，这意味着容器 ENTRYPOINT 和 PostStart 钩子同时触发。但是，如果 PostStart 钩子执行时间过长或挂起，则会阻止容器转换为 running 状态。

PreStop 钩子不是异步执行，与停止容器的信号并行执行；钩子必须在可以发送 TERM 信号之前完成执行。如果 PreStop 钩子在执行过程中挂起，则 Pod 的阶段将为 Terminating，并一直保持在该状态，直到 Pod 在其 terminationGracePeriodSeconds 过期后被杀死。此宽限期适用于 PreStop 钩子执行和容器正常停止的总时间。例如，如果 terminationGracePeriodSeconds 为 60，并且钩子需要 55 秒才能完成，而容器在收到信号后需要 10 秒才能正常停止，则容器将在能够正常停止之前被杀死，因为 terminationGracePeriodSeconds 小于这两个操作发生所花费的总时间 (55+10)。

如果 PostStart 或 PreStop 钩子失败，则会杀死容器。

用户应使其钩子处理程序尽可能轻量。但是，在某些情况下，长时间运行的命令是有意义的，例如在停止容器之前保存状态时。

钩子传递保证

钩子传递旨在 至少一次，这意味着对于任何给定事件（例如 PostStart 或 PreStop），钩子可能会被调用多次。这取决于钩子实现来正确处理此问题。

通常，仅进行单次传递。例如，如果 HTTP 钩子接收器关闭并且无法接收流量，则不会尝试重新发送。但是，在某些极少数情况下，可能会发生双重传递。例如，如果在发送钩子的过程中 kubelet 重新启动，则在 kubelet 重新启动后可能会重新发送钩子。

调试钩子处理程序

钩子处理程序的日志不会在 Pod 事件中公开。如果处理程序由于某种原因失败，它会广播一个事件。对于 PostStart，这是 FailedPostStartHook 事件，对于 PreStop，这是 FailedPreStopHook 事件。要自己生成失败的 FailedPostStartHook 事件，请修改 lifecycle-events.yaml 文件，将 postStart 命令更改为“badcommand”并应用它。以下是从运行 kubectl describe pod lifecycle-demo 中看到的结果事件的一些示例输出

Events:
  Type     Reason               Age              From               Message
  ----     ------               ----             ----               -------
  Normal   Scheduled            7s               default-scheduler  Successfully assigned default/lifecycle-demo to ip-XXX-XXX-XX-XX.us-east-2...
  Normal   Pulled               6s               kubelet            Successfully pulled image "nginx" in 229.604315ms
  Normal   Pulling              4s (x2 over 6s)  kubelet            Pulling image "nginx"
  Normal   Created              4s (x2 over 5s)  kubelet            Created container lifecycle-demo-container
  Normal   Started              4s (x2 over 5s)  kubelet            Started container lifecycle-demo-container
  Warning  FailedPostStartHook  4s (x2 over 5s)  kubelet            Exec lifecycle hook ([badcommand]) for Container "lifecycle-demo-container" in Pod "lifecycle-demo_default(30229739-9651-4e5a-9a32-a8f1688862db)" failed - error: command 'badcommand' exited with 126: , message: "OCI runtime exec failed: exec failed: container_linux.go:380: starting container process caused: exec: \"badcommand\": executable file not found in $PATH: unknown\r\n"
  Normal   Killing              4s (x2 over 5s)  kubelet            FailedPostStartHook
  Normal   Pulled               4s               kubelet            Successfully pulled image "nginx" in 215.66395ms
  Warning  BackOff              2s (x2 over 3s)  kubelet            Back-off restarting failed container

下一步

了解有关容器环境的更多信息。
获取将处理程序附加到容器生命周期事件的实践经验。

上次修改时间为 2024 年 11 月 18 日下午 8:22 PST：修复了特性门控直到版本，并在容器生命周期钩子中添加了注释 (49e252c13d)