FEATURE STATE: Kubernetes v1.17 [stable]
此页面展示如何为 pod 配置进程命名空间共享。 当启用进程命名空间共享时,容器中的进程对该 pod 中的所有其他容器都是可见的。
你可以使用此功能来配置协作容器,比如日志处理 sidecar 容器,或者对那些不包含诸如 shell 等调试实用工具的镜像进行故障排查。
你必须拥有一个 Kubernetes 的集群,同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 建议在至少有两个节点的集群上运行本教程,且这些节点不作为控制平面主机。 如果你还没有集群,你可以通过 Minikube 构建一个你自己的集群,或者你可以使用下面任意一个 Kubernetes 工具构建:
您的 Kubernetes 服务器必须是 v1.10 或更高版本。 要检查版本,请输入 kubectl version
。
进程命名空间共享使用 v1.PodSpec
中的 ShareProcessNamespace
字段启用。例如:
apiVersion: v1
kind: Pod
metadata:
name: nginx
spec:
shareProcessNamespace: true
containers:
- name: nginx
image: nginx
- name: shell
image: busybox:1.28
securityContext:
capabilities:
add:
- SYS_PTRACE
stdin: true
tty: true
nginx
pod:kubectl apply -f https://k8s.io/examples/pods/share-process-namespace.yaml
shell
,执行 ps
:kubectl attach -it nginx -c shell
如果没有看到命令提示符,请按 enter 回车键。
/ # ps ax
PID USER TIME COMMAND
1 root 0:00 /pause
8 root 0:00 nginx: master process nginx -g daemon off;
14 101 0:00 nginx: worker process
15 root 0:00 sh
21 root 0:00 ps ax
你可以在其他容器中对进程发出信号。例如,发送 SIGHUP
到 nginx 以重启工作进程。这需要 SYS_PTRACE
功能。
/ # kill -HUP 8
/ # ps ax
PID USER TIME COMMAND
1 root 0:00 /pause
8 root 0:00 nginx: master process nginx -g daemon off;
15 root 0:00 sh
22 101 0:00 nginx: worker process
23 root 0:00 ps ax
甚至可以使用 /proc/$pid/root
链接访问另一个容器镜像。
/ # head /proc/8/root/etc/nginx/nginx.conf
user nginx;
worker_processes 1;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
Pod 共享许多资源,因此它们共享进程命名空间是很有意义的。 不过,有些容器镜像可能希望与其他容器隔离,因此了解这些差异很重要:
systemd
的容器),或者拒绝执行 kill -HUP 1
之类的命令来通知容器进程。在具有共享进程命名空间的 pod 中,kill -HUP 1
将通知 pod 沙箱(在上面的例子中是 /pause
)。
/proc
中可见的所有信息,例如作为参数或环境变量传递的密码。这些仅受常规 Unix 权限的保护。
/proc/$pid/root
链接对 pod 中的其他容器可见。 这使调试更加容易,但也意味着文件系统安全性只受文件系统权限的保护。从Pod中访问KubernetesAPI本指南演示了如何从Pod中访问KubernetesAPI。在开始之前你必须拥有一个 Kubernetes 的集群,同时你的 K...
使用kubectl完成集群的第一次访问当你第一次访问KubernetesAPI的时候,我们建议你使用KubernetesCLI工具kubectl。访问集群时...
Docker run 命令Docker 命令大全docker run :创建一个新的容器并运行一个命令语法docker run [OPTIONS] IMAGE [COMMAND] [ARG.....
Docker search 命令Docker 命令大全docker search : 从Docker Hub查找镜像语法docker search [OPTIONS] TERMOPTIONS说明:--auto...
jQuery Mobile 网格 JQuery Mobile 提供的 CSS 样式 ui-grid 可以实现内容的网格布局。 jQuery Mobile 布局网格 jQuery Mobile ...
你可以使用引用标识符间接引用颜色。颜色ID在 your-package.R.color 命名空间下可用。Android定义了一组基本颜色,可以通过andro...