在 Pod 中容器之间共享进程命名空间
本页面展示如何为 Pod 配置进程命名空间共享。当进程命名空间共享启用时,容器中的进程对同一 Pod 中的所有其他容器可见。
您可以使用此功能来配置协作容器,例如日志处理 sidecar 容器,或者对不包含 shell 等调试实用程序的容器镜像进行故障排除。
开始之前
你需要一个 Kubernetes 集群,并且必须配置 kubectl 命令行工具与你的集群进行通信。建议在至少有两个不充当控制平面主机的节点的集群上运行本教程。 如果你还没有集群,可以使用 minikube 创建一个,也可以使用以下 Kubernetes 游乐场之一
配置 Pod
进程命名空间共享通过 Pod 的 .spec 中的 shareProcessNamespace 字段启用。例如:
在你的集群上创建 pod
nginxkubectl apply -f https://k8s.io/examples/pods/share-process-namespace.yaml附加到
shell容器并运行pskubectl exec -it nginx -c shell -- /bin/sh如果没有看到命令提示符,请尝试按回车键。在容器 shell 中:
# run this inside the "shell" container ps ax输出类似于这样:
PID USER TIME COMMAND 1 root 0:00 /pause 8 root 0:00 nginx: master process nginx -g daemon off; 14 101 0:00 nginx: worker process 15 root 0:00 sh 21 root 0:00 ps ax
您可以向其他容器中的进程发送信号。例如,向 nginx 发送 SIGHUP 以重新启动工作进程。 这需要 SYS_PTRACE 功能。
# run this inside the "shell" container
kill -HUP 8 # change "8" to match the PID of the nginx leader process, if necessary
ps ax
输出类似于这样:
PID USER TIME COMMAND
1 root 0:00 /pause
8 root 0:00 nginx: master process nginx -g daemon off;
15 root 0:00 sh
22 101 0:00 nginx: worker process
23 root 0:00 ps ax
甚至可以使用 /proc/$pid/root 链接访问另一个容器的文件系统。
# run this inside the "shell" container
# change "8" to the PID of the Nginx process, if necessary
head /proc/8/root/etc/nginx/nginx.conf
输出类似于这样:
user nginx;
worker_processes 1;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
理解进程命名空间共享
Pod 共享许多资源,因此它们也共享进程命名空间是有意义的。但是,某些容器可能希望与其他容器隔离,因此了解差异非常重要
容器进程不再具有 PID 1。 一些容器拒绝在没有 PID 1 的情况下启动(例如,使用
systemd的容器),或者运行诸如kill -HUP 1之类的命令来向容器进程发送信号。在具有共享进程命名空间的 pod 中,kill -HUP 1将向 pod 沙箱(在上面的示例中为/pause)发送信号。进程对 pod 中的其他容器可见。 这包括
/proc中可见的所有信息,例如作为参数或环境变量传递的密码。这些仅受常规 Unix 权限保护。容器文件系统可以通过
/proc/$pid/root链接对 pod 中的其他容器可见。 这使调试更容易,但也意味着文件系统机密仅受文件系统权限保护。