大家好,这里是G-LAB IT实验室。
从一个容器的不足说起
容器概念出现时,有个非常重要的理念:容器中极简。
即容器里面只保留需要运行的进程就可以,其他一律不要安装。这也是为什么 Docker 出现的那时,有一篇文章《为什么不需要在 Docker 容器中运行 sshd》经常被提及的原因。
但有时候 Docker 容器中缺少需要的软件。比如 curl,wget,ifconfig,ip,tcpdump 等基础软件包,遇到问题时,什么命令都敲不了,很是让人抓狂。平时定位问题的技术(各种 Linux 命令行工具),一点都用不上了。自己打的镜像倒还好,大不了重新打镜像把需要的工具也安装后,重新打镜像。但是如果是开源镜像就比较棘手。
如何在没有安装软件包的容器里面,执行需要的命令行(二进制工具)进行调试,一直是 K8s 平台的一个小遗憾。
以前想 K8s 可以补充的功能
以前想着:可以利用 Host 上面的命令行呀,通过 nsenter 跳到容器里面,不就可以执行了么。
当年还幻想可以给 K8s 提点 proposal:让 exec 命令增加 --from-host 参数,当带上这个参数的时候,让 kubelet 直接从 Host 执行 nsenter 运行主机上面的二进制,这样就绕过了容器里面没有命令行的约束。方便管理员调试容器中相关问题。
想法似乎挺好,后面转战上层 AI 平台,并没有继续关注这么底层的了。直到最近看到 K8s 的新功能:“临时容器” (ephemeral containers)。发现 K8s 对某个特性的设计还是非常值得点赞的。
结果 K8s 实现的功能
K8s 为了能在容器里面,执行不存在的命令行,增加了一个 kubectl debug 命令
大致流程如下图:
其中红色容器,就是一个 “临时容器”,它与目标容器共享各种 namespace,所以与直接在目标容器中执行命令的效果是一样的。通过指定镜像地址,来控制这个新启动的 “临时容器” 里面包含自己所需要的各类命令行。
这样就可以在任意 K8s 的容器里面,执行不存在的命令行工具了。比如,对某 Pod 里面的名为 app 的容器执行调试:
kubectl debug -it -c debugger --target=app --image=busybox {POD_NAME}
–target 参数,是指定 Pod 中需要调试的目标 Container(有时 Pod 有多个 Container)。
果然还是人家的更厉害
看完 K8s 的实现,明显比早期想的 “借用 Host” 方法更好:其仍然保持 Host 节点的 “极简”,而是将需要的工具仍然保持由容器来承载。这样可以借用任意的容器镜像,而不必在 Host 节点上面安装各种工具包。非常优雅。
更 “过分” 的是,在节点上没有的命令行工具,也不需要给节点安装软件包,也可以通过临时容器来执行。
kubectl debug node/mynode -it --image=ubuntu
扩展性也很赞,确实考虑的挺周全。
So,启动 “临时容器” 来在目标容器中 “整活” 走起~
标签:容器,--,厉害,Host,命令行,镜像,K8s From: https://blog.csdn.net/mengmeng_921/article/details/143116508