调试pod最简单的方法是在有问题的pod中执行命令,并尝试排除故障。这种方法很简单,但有许多缺点。
- 正在运行的应用pod可能没有排除现有问题所需的所有工具。
- 如果想执行一些需要额外权限的操作,需要重新启动应用pod,以添加新的权限。
- 在docker镜像中添加调试工具会引入安全风险,提升容器权限也是如此。
因此,我们需要探索其他调试pod的方法。
使用临时调试容器进行调试
当kubectl exec
不够用时(比如容器已经崩溃,或者容器镜像没有包含调试实用程序,比如distroless镜像),或者正在运行的pod没有调试所需的特权时,[临时容器(ephemeral container)](https://kubernetes.io/docs/concepts/workloads/pods/ephemeral-containers/ "临时容器(ephemeral container "临时容器(ephemeral container)")")对于交互式故障排除非常有用。
临时容器背后的主要思想是,K8S将具有选定自定义镜像的新容器添加到现有pod中,而不需要重新启动该pod。这个新的容器可以共享目标容器的资源,包括:
- Linux网络命名空间
- Linux进程命名空间
- 访问共享卷
- 访问K8S节点
我将为每个用例提供一个示例。
在开始演示前,需要有一个版本为1.23的k8s集群,建议使用```kind```[2],但也可以使用其他任何配置器。
我们从创建演示集群开始。
创建kind集群
创建新集群很简单,只需运行命令kind create cluster
。
示例:
一旦创建了集群,需要验证是否启动并可访问。
示例:
所有操作都将从主kind
节点执行,所以需要通过docker exec -it <kind-container-id> bash
访问。
示例:
创建简单工作负载
假设需要调试Nginx,我们创建一个单副本Nginx部署,通过运行以下命令来完成。
kubectl create deployment nginx --image=nginx
诊断网络故障
诊断网络故障需要共享网络命名空间。当将临时容器附加到运行中的pod时,这是默认的Linux命名空间。
接下来我们创建第一个临时容器,使用nicolaka/netshoot
作为新的临时容器的镜像,该镜像包含许多故障排除工具,如tcpdump
和strace
。
kubectl debug -it pod-name --image=<ephemeral-container> -- command
示例:
我们确认一下两个容器共享相同的Linux命名空间。在主节点上打开一个新shell,并运行此命令:
systemd-cgls -u kubelet-kubepods-besteffort.slice
示例:
从上面的例子中,可以得到两个容器的主进程ID:
- 2612 -> 临时容器的主进程ID
- 2259 -> Nginx容器的主进程ID
接下来,检查每个进程的Linux命名空间。
从截图中可以发现,两个进程具有相同的Linux网络命名空间ID。
现在我们从临时容器中抓取Nginx容器的网络数据包。
从临时容器shell运行此命令:
tcpdump -n port 80
示例:
现在,试着从k8s主节点向这个pod发送一些请求。
curl http://pod-ip-adderss
现在观察临时容器终端,会发现TCP报文会被打印出来:
第一个演示完成,现在我们可以从临时容器捕获网络数据包了。
接下来看第二个用例。
利用临时容器跟踪/分析进程
下一个用例是从临时容器跟踪应用容器中运行的进程。
为此,我们需要:
- 这两个容器必须共享相同的Linux进程命名空间。
- 临时容器必须具有Linux capability
SYS_PTRACE
创建临时容器时,通过添加额外参数--target <container-name>
,可以轻松共享Linux进程命名空间。
kubectl debug -it <pod-name > --image=nicolaka/netshoot --target <container-name> -- bash
示例:
正如上面截图可以看到:
- 为了共享进程命名空间,需要添加额外的命令行参数
--target <container-name>
- 从临时容器中,可以看到
nginx
容器中所有正在运行的进程 - 因为临时容器没有
ptrace
系统调用所需权限,因此无法跟踪nginx
进程。该系统调用被strace
命令用来暂停Linux进程,记录nginx
发送给内核的每个系统调用。
如何解决这个问题?很不幸,我没有找到从kubectl
命令向临时容器传递额外权限的方法。因此,我们将构造并发送HTTP请求到kube API服务器,而不使用kubectl
命令。
curl -v -XPATCH -H "Content-Type: application/json-patch+json" \
'http://127.0.0.1:8001/api/v1/namespaces/default/pods/nginx-8f458dc5b-wkvq4/ephemeralcontainers' \
--data-binary @- << EOF
[{
"op": "add", "path": "/spec/ephemeralContainers/-",
"value": {
"command":[ "/bin/sh" ],
"stdin": true, "tty": true,
"image": "nicolaka/netshoot",
"name": "debug-strace",
"securityContext": {"capabilities": {"add": ["SYS_PTRACE"]}},
"targetContainerName": "nginx" }}]
EOF
现在可以在权限不被拒绝的情况下调用strace
。
本例给临时容器添加了执行SYS_PTRACE
的权限,但具体给什么权限取决于所用的调试器,或者简单点可以给临时容器特权访问,从而不需要担心需要允许哪个系统调用。
另外,可以从临时容器访问nginx
容器的文件系统。根文件系统位于/proc/<process-id>/root
目录下。
我们看看是否可以从临时容器访问nginx
配置。
示例:
好了,接下来我们看一下临时容器的最后一个用例。
通过节点上的shell进行调试
有时候我们需要访问k8s节点,但却没有对节点的ssh或控制台访问权限。
这时候可以通过临时容器访问节点。
kubectl debug node/<node-name> -it --image=<image-name>
在节点上创建调试会话时,请记住:
kubectl debug
会根据节点名称自动生成新Pod的名称。- 容器运行在主机IPC、Network和PID命名空间中。
- 节点根文件系统将挂载在
/host
上。
如果希望临时容器的根文件系统与节点相同,只需要将chroot /host
。
示例:
标签:容器,运维,Kubernetes,示例,临时,--,Linux,Pod,pod From: https://blog.51cto.com/jowin/7334081