FEATURE STATE: Kubernetes v1.23 [beta]
本页面概述了临时容器:一种特殊的容器,该容器在现有 Pod 中临时运行,以便完成用户发起的操作,例如故障排查。 你会使用临时容器来检查服务,而不是用它来构建应用程序。
Pod 是 Kubernetes 应用程序的基本构建块。 由于 Pod 是一次性且可替换的,因此一旦 Pod 创建,就无法将容器加入到 Pod 中。 取而代之的是,通常使用 Deployment 以受控的方式来删除并替换 Pod。
有时有必要检查现有 Pod 的状态。例如,对于难以复现的故障进行排查。 在这些场景中,可以在现有 Pod 中运行临时容器来检查其状态并运行任意命令。
临时容器与其他容器的不同之处在于,它们缺少对资源或执行的保证,并且永远不会自动重启, 因此不适用于构建应用程序。 临时容器使用与常规容器相同的 ContainerSpec
节来描述,但许多字段是不兼容和不允许的。
ports
,livenessProbe
,readinessProbe
这样的字段是不允许的。
resources
配置是不允许的。
临时容器是使用 API 中的一种特殊的 ephemeralcontainers
处理器进行创建的, 而不是直接添加到 pod.spec
段,因此无法使用 kubectl edit
来添加一个临时容器。
与常规容器一样,将临时容器添加到 Pod 后,将不能更改或删除临时容器。
当由于容器崩溃或容器镜像不包含调试工具而导致 kubectl exec
无用时, 临时容器对于交互式故障排查很有用。
尤其是,Distroless 镜像 允许用户部署最小的容器镜像,从而减少攻击面并减少故障和漏洞的暴露。 由于 distroless 镜像不包含 Shell 或任何的调试工具,因此很难单独使用 kubectl exec
命令进行故障排查。
使用临时容器时,启用 进程名字空间共享 很有帮助,可以查看其他容器中的进程。
已完成Job的自动清理FEATURESTATE:Kubernetesv1.23[stable]TTL-after-finished控制器提供了一种TTL机制来限制已完成执行的资源对...
Ingress控制器为了让Ingress资源工作,集群必须有一个正在运行的Ingress控制器。与作为kube-controller-manager可执行文件的...
介绍一个projected卷可以将若干现有的卷源映射到同一个目录之上。目前,以下类型的卷源可以被投射:secretdownwardAPIconfig...
Pod安全策略FEATURESTATE:Kubernetesv1.21[deprecated]Caution: PodSecurityPolicy自Kubernetesv1.21起已弃用,并将在v1.25中删...
FinalizersFinalizer是带有命名空间的键,告诉Kubernetes等到特定的条件被满足后,再完全删除被标记为删除的资源。Finalizer提醒...