在 Pod 中的容器之间共享进程命名空间
本页面介绍了如何为 Pod 配置进程命名空间共享。启用进程命名空间共享后,容器中的进程对同一 Pod 内的所有其他容器可见。
你可以利用此功能来配置相互协作的容器(例如日志处理的 Sidecar 容器),或者对不包含 shell 等调试工具的容器镜像进行故障排查。
开始之前
你需要有一个 Kubernetes 集群,并且必须配置 kubectl 命令行工具以与你的集群通信。建议在至少有两个节点的集群上运行本教程,且这些节点不能作为控制平面主机。如果你还没有集群,可以通过 minikube 创建一个,或者使用以下 Kubernetes 演练场之一。
配置 Pod
使用 Pod 的 .spec 中的 shareProcessNamespace 字段可以启用进程命名空间共享。例如:
在集群上创建
nginxPodkubectl apply -f https://k8s.io/examples/pods/share-process-namespace.yaml附加到
shell容器并运行pskubectl exec -it nginx -c shell -- /bin/sh如果你没有看到命令提示符,请尝试按回车键。在容器 shell 中:
# run this inside the "shell" container ps ax输出类似于此
PID USER TIME COMMAND 1 root 0:00 /pause 8 root 0:00 nginx: master process nginx -g daemon off; 14 101 0:00 nginx: worker process 15 root 0:00 sh 21 root 0:00 ps ax
你可以向其他容器中的进程发送信号。例如,向 nginx 发送 SIGHUP 以重启 worker 进程。这需要 SYS_PTRACE 能力。
# run this inside the "shell" container
kill -HUP 8 # change "8" to match the PID of the nginx leader process, if necessary
ps ax
输出类似于此
PID USER TIME COMMAND
1 root 0:00 /pause
8 root 0:00 nginx: master process nginx -g daemon off;
15 root 0:00 sh
22 101 0:00 nginx: worker process
23 root 0:00 ps ax
甚至可以通过 /proc/$pid/root 链接访问另一个容器的文件系统。
# run this inside the "shell" container
# change "8" to the PID of the Nginx process, if necessary
head /proc/8/root/etc/nginx/nginx.conf
输出类似于此
user nginx;
worker_processes 1;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
理解进程命名空间共享
Pod 共享许多资源,因此共享进程命名空间也是合情合理的。不过,有些容器可能期望与其他容器隔离,因此理解其差异非常重要:
容器进程不再拥有 PID 1。 有些容器在没有 PID 1 时会拒绝启动(例如使用
systemd的容器),或者运行诸如kill -HUP 1之类的命令来向容器进程发送信号。在共享进程命名空间的 Pod 中,kill -HUP 1将向 Pod 沙盒(上述示例中的/pause)发送信号。进程对 Pod 中的其他容器可见。 这包括
/proc中可见的所有信息,例如作为参数传递或以环境变量形式存在的密码。这些信息仅受常规 Unix 权限保护。容器文件系统可以通过
/proc/$pid/root链接被 Pod 中的其他容器访问。 这使调试更容易,但也意味着文件系统中的密钥仅受文件系统权限保护。
最后修改于 2024年10月09日 11:18 PM PST: 更改了附加到 shell 容器的命令 (585c1c60c1)