专栏
登录
如何通过pod进入kubernetes任意node节点并进行节点相关操作
2023-10-27 15:01:49 15阅读
kubernetes节点间进行ssh登录通常有密码限制,当我们需要排查某特定节点故障时如何绕开密码进行故障排查呢,接下来我们可以利用下面的方法来解决这类场景需求。实现上面的需求需要介绍下如下两个知识点
- Linux namespace
在 Linux 中,命名空间(Namespace)是一种内核机制,用于隔离和管理系统资源。它允许在同一系统上创建多个独立的、相互隔离的环境,每个环境都有自己的资源副本,例如进程、网络、文件系统、用户等
Linux 内核提供了多种类型的命名空间,每种类型都用于隔离和管理不同的资源。以下是 Linux 中常见的命名空间类型:
1. PID 命名空间:每个 PID 命名空间都有自己的进程 ID(PID)空间,使得每个命名空间中的进程 ID 都是唯一的。这样就可以在不同的命名空间中运行进程,互相之间不会相互干扰。
2. NET 命名空间:每个网络命名空间都有自己的网络设备、IP 地址、路由表和网络连接。这允许不同的命名空间之间有独立的网络配置,实现网络资源的隔离。
3. MOUNT 命名空间:每个挂载命名空间都有自己的文件系统挂载点和挂载信息。这允许在不同的命名空间中对文件系统进行独立的挂载和卸载操作。
4. UTS 命名空间:UTS(UNIX Timesharing System)命名空间用于隔离主机名和域名。每个 UTS 命名空间都有自己的主机名和域名。
5. IPC 命名空间:IPC(Inter-Process Communication)命名空间用于隔离进程间通信的资源,如消息队列、信号量和共享内存等。
6. 用户命名空间:用户命名空间用于隔离用户和用户组。不同的用户命名空间中可以有相同的用户 ID 和用户组 ID,但它们在不同的命名空间中是独立的身份。
通过使用命名空间,可以实现资源的隔离和管理,提高系统的安全性、稳定性和性能。它在容器技术(如 Docker)和虚拟化技术中被广泛应用,为应用程序提供独立的运行环境。
- nsenter 工具
nsenter 是一个 Linux 命令行工具,用于进入到一个特定的命名空间(namespace)中。通过nsenter,您可以在命令行中切换到指定的命名空间,以便查看和操作该命名空间中的资源。
nsenter 命令的语法如下:
nsenter [options] <target> <command>其中,target 可以是一个进程 ID(PID)或一个命名空间的路径(例如 /proc/<PID>/ns/net)。command 是要在目标命名空间中执行的命令。options 是其他可选参数,用于指定如何进入命名空间以及要进入的命名空间类型。
以下是一些常见的 nsenter 使用示例:
以进入 PID 命名空间为例(进入其他命名空间与之类似):
nsenter --target <PID> --pid -- <command>这将进入指定 PID 的命名空间,并在该命名空间中执行 <command> 命令。
- 如何把上述内容应用到 kubernetes 中
针对上面的说明,我们需要把这些功能集成到一个 pod,通过把pod调度到指定 host并和host共享命名空间能力达到进入指定 host 的目的。
1. 整理需要部署的pod如下
apiVersion: v1
kind: Pod
metadata:
labels:
run: nsenter
name: nsenter
spec:
containers:
- command:
- nsenter
- --target
- "1"
- --mount
- --uts
- --ipc
- --net
- --pid
- --
- bash
- -l
image: docker.io/library/alpine
imagePullPolicy: Always
name: nsenter
resources:
limits:
cpu: 100m
memory: 256Mi
requests:
cpu: 100m
memory: 256Mi
securityContext:
privileged: true
stdin: true
stdinOnce: true
tty: true
volumeMounts:
- mountPath: /var/run/secrets/kubernetes.io/serviceaccount
name: kube-api-access-942rm
readOnly: true
hostNetwork: true
hostPID: true
nodeName: minikube
tolerations:
- key: CriticalAddonsOnly
operator: Exists
- effect: NoExecute
operator: Exists
volumes:
- name: kube-api-access-942rm
projected:
defaultMode: 420
sources:
- serviceAccountToken:
expirationSeconds: 3607
path: token
- configMap:
items:
- key: ca.crt
path: ca.crt
name: kube-root-ca.crt
- downwardAPI:
items:
- fieldRef:
apiVersion: v1
fieldPath: metadata.namespace
path: namespace2. 部署pod 并查看效果
// 部署整理好的 pod 文件
kubectl apply -f pod.yaml
// 通过 kubectl进入 nsenter pod,由于命名空间共享。进入 pod 以后就跟进入 host 节点一样
kubectl exec -it nsenter -- bash
// 通过查看主机上的文件系统或运行进程是否和直接进入 node 节点一样
ls - 0
- 0
- 0
-
发表评论
如何通过pod进入kubernetes任意node节点并进行节点相关操作
2023-10-27 15:01:49 15阅读
kubernetes节点间进行ssh登录通常有密码限制,当我们需要排查某特定节点故障时如何绕开密码进行故障排查呢,接下来我们可以利用下面的方法来解决这类场景需求。实现上面的需求需要介绍下如下两个知识点
- Linux namespace
在 Linux 中,命名空间(Namespace)是一种内核机制,用于隔离和管理系统资源。它允许在同一系统上创建多个独立的、相互隔离的环境,每个环境都有自己的资源副本,例如进程、网络、文件系统、用户等
Linux 内核提供了多种类型的命名空间,每种类型都用于隔离和管理不同的资源。以下是 Linux 中常见的命名空间类型:
1. PID 命名空间:每个 PID 命名空间都有自己的进程 ID(PID)空间,使得每个命名空间中的进程 ID 都是唯一的。这样就可以在不同的命名空间中运行进程,互相之间不会相互干扰。
2. NET 命名空间:每个网络命名空间都有自己的网络设备、IP 地址、路由表和网络连接。这允许不同的命名空间之间有独立的网络配置,实现网络资源的隔离。
3. MOUNT 命名空间:每个挂载命名空间都有自己的文件系统挂载点和挂载信息。这允许在不同的命名空间中对文件系统进行独立的挂载和卸载操作。
4. UTS 命名空间:UTS(UNIX Timesharing System)命名空间用于隔离主机名和域名。每个 UTS 命名空间都有自己的主机名和域名。
5. IPC 命名空间:IPC(Inter-Process Communication)命名空间用于隔离进程间通信的资源,如消息队列、信号量和共享内存等。
6. 用户命名空间:用户命名空间用于隔离用户和用户组。不同的用户命名空间中可以有相同的用户 ID 和用户组 ID,但它们在不同的命名空间中是独立的身份。
通过使用命名空间,可以实现资源的隔离和管理,提高系统的安全性、稳定性和性能。它在容器技术(如 Docker)和虚拟化技术中被广泛应用,为应用程序提供独立的运行环境。
- nsenter 工具
nsenter 是一个 Linux 命令行工具,用于进入到一个特定的命名空间(namespace)中。通过nsenter,您可以在命令行中切换到指定的命名空间,以便查看和操作该命名空间中的资源。
nsenter 命令的语法如下:
nsenter [options] <target> <command>其中,target 可以是一个进程 ID(PID)或一个命名空间的路径(例如 /proc/<PID>/ns/net)。command 是要在目标命名空间中执行的命令。options 是其他可选参数,用于指定如何进入命名空间以及要进入的命名空间类型。
以下是一些常见的 nsenter 使用示例:
以进入 PID 命名空间为例(进入其他命名空间与之类似):
nsenter --target <PID> --pid -- <command>这将进入指定 PID 的命名空间,并在该命名空间中执行 <command> 命令。
- 如何把上述内容应用到 kubernetes 中
针对上面的说明,我们需要把这些功能集成到一个 pod,通过把pod调度到指定 host并和host共享命名空间能力达到进入指定 host 的目的。
1. 整理需要部署的pod如下
apiVersion: v1
kind: Pod
metadata:
labels:
run: nsenter
name: nsenter
spec:
containers:
- command:
- nsenter
- --target
- "1"
- --mount
- --uts
- --ipc
- --net
- --pid
- --
- bash
- -l
image: docker.io/library/alpine
imagePullPolicy: Always
name: nsenter
resources:
limits:
cpu: 100m
memory: 256Mi
requests:
cpu: 100m
memory: 256Mi
securityContext:
privileged: true
stdin: true
stdinOnce: true
tty: true
volumeMounts:
- mountPath: /var/run/secrets/kubernetes.io/serviceaccount
name: kube-api-access-942rm
readOnly: true
hostNetwork: true
hostPID: true
nodeName: minikube
tolerations:
- key: CriticalAddonsOnly
operator: Exists
- effect: NoExecute
operator: Exists
volumes:
- name: kube-api-access-942rm
projected:
defaultMode: 420
sources:
- serviceAccountToken:
expirationSeconds: 3607
path: token
- configMap:
items:
- key: ca.crt
path: ca.crt
name: kube-root-ca.crt
- downwardAPI:
items:
- fieldRef:
apiVersion: v1
fieldPath: metadata.namespace
path: namespace2. 部署pod 并查看效果
// 部署整理好的 pod 文件
kubectl apply -f pod.yaml
// 通过 kubectl进入 nsenter pod,由于命名空间共享。进入 pod 以后就跟进入 host 节点一样
kubectl exec -it nsenter -- bash
// 通过查看主机上的文件系统或运行进程是否和直接进入 node 节点一样
ls 