在 Pod 中的容器之间共享进程命名空间
本页面展示了如何为 Pod 配置进程命名空间共享。当启用进程命名空间共享时,容器中的进程对同一 Pod 中的所有其他容器可见。
您可以使用此功能来配置协作容器,例如日志处理 sidecar 容器,或对不包含调试工具(如 shell)的容器镜像进行故障排除。
在您开始之前
您需要一个 Kubernetes 集群,并且 kubectl 命令行工具必须配置为与您的集群通信。建议您在至少有两个节点(不充当控制平面主机)的集群上运行本教程。如果您还没有集群,您可以使用 minikube 创建一个,或者您可以使用以下 Kubernetes playground 之一
配置 Pod
进程命名空间共享是使用 Pod 的 .spec 中的 shareProcessNamespace 字段启用的。例如
在您的集群上创建 Pod
nginxkubectl apply -f https://k8s.io/examples/pods/share-process-namespace.yaml附加到
shell容器并运行pskubectl attach -it nginx -c shell如果您没有看到命令提示符,请尝试按回车键。在容器 shell 中
# run this inside the "shell" container ps ax输出类似于以下内容
PID USER TIME COMMAND 1 root 0:00 /pause 8 root 0:00 nginx: master process nginx -g daemon off; 14 101 0:00 nginx: worker process 15 root 0:00 sh 21 root 0:00 ps ax
您可以向其他容器中的进程发送信号。例如,向 nginx 发送 SIGHUP 以重新启动工作进程。这需要 SYS_PTRACE 功能。
# run this inside the "shell" container
kill -HUP 8 # change "8" to match the PID of the nginx leader process, if necessary
ps ax
输出类似于以下内容
PID USER TIME COMMAND
1 root 0:00 /pause
8 root 0:00 nginx: master process nginx -g daemon off;
15 root 0:00 sh
22 101 0:00 nginx: worker process
23 root 0:00 ps ax
甚至可以使用 /proc/$pid/root 链接访问另一个容器的文件系统。
# run this inside the "shell" container
# change "8" to the PID of the Nginx process, if necessary
head /proc/8/root/etc/nginx/nginx.conf
输出类似于以下内容
user nginx;
worker_processes 1;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
了解进程命名空间共享
Pod 共享许多资源,因此它们也共享进程命名空间是有意义的。但是,某些容器可能希望与其他容器隔离,因此了解差异很重要
容器进程不再具有 PID 1。某些容器拒绝在没有 PID 1 的情况下启动(例如,使用
systemd的容器)或运行诸如kill -HUP 1之类的命令来向容器进程发送信号。在具有共享进程命名空间的 Pod 中,kill -HUP 1将向 Pod 沙箱(在上面的示例中为/pause)发送信号。进程对 Pod 中的其他容器可见。这包括
/proc中可见的所有信息,例如作为参数或环境变量传递的密码。这些仅受常规 Unix 权限保护。容器文件系统通过
/proc/$pid/root链接对 Pod 中的其他容器可见。这使调试更容易,但也意味着文件系统秘密仅受文件系统权限保护。