从K8s的“临时容器”看K8s设计的厉害之处

举报
tsjsdbd 发表于 2024/07/23 14:43:30 2024/07/23
【摘要】 介绍kubernetes的“临时容器”的作用,以及其良好的设计思路

 

从一个容器的不足说起

容器概念出现时,有个非常重要的理念:容器中极简。

即容器里面只保留需要运行的进程就可以,其他一律不要安装。这也是为什么Docker出现的那时,有一篇文章《为什么不需要在Docker容器中运行sshd》经常被提及的原因。

但有时候Docker容器中缺少需要的软件。比如 curlwgetifconfigiptcpdump 等基础软件包,遇到问题时,什么命令都敲不了,很是让人抓狂。平时定位问题的技术(各种Linux命令行工具),一点都用不上了。自己打的镜像倒还好,大不了重新打镜像把需要的工具也安装后,重新打镜像。但是如果是开源镜像就比较棘手。

如何在没有安装软件包的容器里面,执行需要的命令行(二进制工具)进行调试,一直是K8s平台的一个小遗憾。

我以前想K8s可以补充的功能

之前唐老师写过《跟唐老师学习云网络 - nsenter魔法棒》,我还想着:可以利用Host上面的命令行呀,通过nsenter跳到容器里面,不就可以执行了么。


当年还幻想可以给K8s提点proposal:让exec命令增加 --from-host 参数,当带上这个参数的时候,让kubelet直接从Host执行nsenter运行主机上面的二进制,这样就绕过了容器里面没有命令行的约束。方便管理员调试容器中相关问题。

想法似乎挺好,后面转战上层AI平台,并没有继续关注这么底层的了。直到最近看到K8s的新功能:临时容器” (ephemeral containers)。发现K8s对某个特性的设计还是非常值得点赞的。

结果K8s实现的功能

K8s为了能在容器里面,执行不存在的命令行,增加了一个 kubectl debug命令

大致流程如下图:


其中红色容器,就是一个临时容器,它与目标容器共享各种namespace,所以与直接在目标容器中执行命令的效果是一样的。通过指定镜像地址,来控制这个新启动的临时容器里面包含自己所需要的各类命令行。


这样就可以在任意K8s的容器里面,执行不存在的命令行工具了。比如,对某Pod里面的名为app的容器执行调试:

kubectl debug -it -c debugger --target=app --image=busybox {POD_NAME}

--target参数,是指定Pod中需要调试的目标Container(有时Pod有多个Container)。

 

果然还是人家的更厉害

看完K8s的实现,明显比我早期想的 借用Host” 方法更好:其仍然保持Host节点的极简,而是将需要的工具仍然保持由容器来承载。这样可以借用任意的容器镜像,而不必在Host节点上面安装各种工具包。非常优雅。

过分的是,在节点上没有的命令行工具,也不需要给节点安装软件包,也可以通过临时容器来执行。

kubectl debug node/mynode -it --image=ubuntu

扩展性也很赞,确实考虑的挺周全。

So,启动临时容器来在目标容器中整活走起~

 

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。