在 Pod 中的容器间共享进程命名空间-篮球世界杯冠军-2030世界杯_06年世界杯冠军是谁

在 Pod 中的容器间共享进程命名空间本页面展示如何为 Pod 配置进程命名空间共享。启用进程命名空间共享后，容器中的进程对于同一个 Pod 中的所有其他容器都是可见的。

你可以使用此功能来配置协同工作的容器，例如日志处理 Sidecar 容器，或者用于排查不包含 shell 等调试工具的容器镜像的问题。

开始之前你需要拥有一个 Kubernetes 集群，并且 kubectl 命令行工具已配置为与你的集群通信。建议在至少有两个非控制平面主机的节点组成的集群上运行本教程。如果你还没有集群，可以使用 minikube 创建一个，或者使用以下 Kubernetes 演练场之一。

KillercodaKodeKloudPlay with Kubernetes配置 Pod使用 Pod 的 .spec 字段中的 shareProcessNamespace 字段启用进程命名空间共享。例如：

pods/share-process-namespace.yaml apiVersion: v1

kind: Pod

metadata:

name: nginx

spec:

shareProcessNamespace: true

containers:

- name: nginx

image: nginx

- name: shell

image: busybox:1.28

command: ["sleep", "3600"]

securityContext:

capabilities:

add:

- SYS_PTRACE

stdin: true

tty: true

在你的集群上创建 Pod nginx

kubectl apply -f https://k8s.io/examples/pods/share-process-namespace.yaml

附着到 shell 容器并运行 ps

kubectl exec -it nginx -c shell -- /bin/sh

如果你没有看到命令行提示符，请尝试按回车。在容器 Shell 中：

# run this inside the "shell" container

ps ax

输出类似如下所示：

PID USER TIME COMMAND

1 root 0:00 /pause

8 root 0:00 nginx: master process nginx -g daemon off;

14 101 0:00 nginx: worker process

15 root 0:00 sh

21 root 0:00 ps ax

你可以向其他容器中的进程发送信号。例如，向 nginx 发送 SIGHUP 信号以重启其工作进程。这需要 SYS_PTRACE 能力。

# run this inside the "shell" container

kill -HUP 8 # change "8" to match the PID of the nginx leader process, if necessary

ps ax

输出类似如下所示：

PID USER TIME COMMAND

1 root 0:00 /pause

8 root 0:00 nginx: master process nginx -g daemon off;

15 root 0:00 sh

22 101 0:00 nginx: worker process

23 root 0:00 ps ax

甚至可以使用 /proc/$pid/root 链接访问其他容器的文件系统。

# run this inside the "shell" container

# change "8" to the PID of the Nginx process, if necessary

head /proc/8/root/etc/nginx/nginx.conf

输出类似如下所示：

user nginx;

worker_processes 1;

error_log /var/log/nginx/error.log warn;

pid /var/run/nginx.pid;

events {

worker_connections 1024;

理解进程命名空间共享Pods 共享许多资源，因此它们共享进程命名空间也合情合理。然而，一些容器可能期望与其他容器隔离，所以理解其中的差异非常重要：

容器进程不再是 PID 1。有些容器若没有 PID 1（例如，使用 systemd 的容器）将拒绝启动，或者运行类似 kill -HUP 1 的命令来向容器进程发送信号。在进程命名空间共享的 Pod 中，kill -HUP 1 将向 Pod 沙箱（在上面的示例中为 /pause）发送信号。

进程对于 Pod 中的其他容器是可见的。这包括在 /proc 中可见的所有信息，例如作为参数传递的密码或环境变量。这些信息仅受常规 Unix 权限的保护。

通过 /proc/$pid/root 链接，容器文件系统对于 Pod 中的其他容器是可见的。这使得调试更容易，但也意味着文件系统秘密仅受文件系统权限的保护。