Kubernetes 版“绝命毒师”：DaemonSet 用 hostNetwork 制毒，Pod 用 hostPort 分销，最后被老白（OOM Killer）一锅端！

YAMLMaster

于 2025-03-27 09:00:00 发布

阅读量1.1k

点赞数 25

分类专栏：故障处理文章标签：云原生 kubernetes devops 容器

本文链接：https://blog.csdn.net/2201_75340297/article/details/146522581

版权

故障处理专栏收录该内容

24 篇文章

订阅专栏

Mt. Bromo, Indonesia

引言

对于这种案例，你们的处理思路是怎么样的呢，是否真正的处理过，如果遇到，你们应该怎么处理。

我想大多数人都没有遇到过。

最后有相关的社区群，有兴趣可以加入。

开始

背景：一场持续72小时的“端口狼人杀”

某金融公司的风控服务集群连续三天爆发诡异故障：

• 现象：
- • 随机性端口冲突：部分节点上的 Pod 启动时报错 Bind: address already in use，但同一节点其他 Pod 却正常。
- • 幽灵端口占用：通过 netstat -tulnp 检查节点端口，显示 80 端口“未被占用”，但 Pod 坚称“端口被占”。
- • 重启失效：重启节点后问题暂时消失，但几小时后再度爆发，运维团队陷入“救火循环”。

第一部分：根因解剖——hostNetwork 与 hostPort 的“量子叠加态”

1. hostNetwork 的本质：打破网络隔离的“降维打击”

• 技术原理：
- • 当 Pod 配置 hostNetwork: true 时，直接共享宿主机的网络命名空间（Network Namespace）。
- • 效果等同于在宿主机上运行进程：Pod 监听的端口会直接绑定到宿主机的 IP 和端口上。
- • 类比：相当于租客（Pod）直接住进了房东（宿主机）的房间，房东的家具（端口）被租客随意使用。

• 典型配置：

# DaemonSet 示例（日志采集Agent）
spec:
  template:
    spec:
      hostNetwork: true   # 共享宿主机网络
      containers:
      - name: log-agent
        ports:
        - containerPort: 80  # 监听宿主机80端口

2. hostPort 的真相：Kubernetes 的“透明劫持术”

• 技术原理：
- • 当 Pod 配置 hostPort: 80 时，Kubernetes 会通过 iptables DNAT 规则，将宿主机的 80 端口流量转发到 Pod 的容器端口。
- • 关键点：此配置并不会在宿主机上真正监听端口，而是通过 iptables 实现“流量劫持”。
- • 类比：相当于房东在门口挂了个牌子（iptables规则），把访客引导到租客（Pod）的房间，但房东自己并没有占用房间。

• 典型配置：

# 普通 Pod 示例（Web应用）
spec:
  containers:
  - name: web-app
    ports:
    - containerPort: 8080
      hostPort: 80  # 通过宿主机80端口暴露服务

3. 冲突的诞生：当 hostNetwork 遇上 hostPort 的“二向箔”

• 致命组合：
- • DaemonSet（hostNetwork=true）：在宿主机上真实监听 80 端口。
- • 普通 Pod（hostPort=80）：通过 iptables 劫持宿主机 80 端口。
• 量子纠缠现象：
- • 场景一：DaemonSet 的 Pod 先启动 → 宿主机 80 端口被真实占用 → 普通 Pod 因 iptables 规则冲突无法启动。
- • 场景二：普通 Pod 先启动 → iptables 规则生效 → DaemonSet 的 Pod 因端口已被监听无法启动。
- • 结果：谁先启动谁存活，后者必崩溃，形成“薛定谔的端口占用”。

4. 调度器的“盲点”：为何 Kubernetes 无法检测冲突？

• 调度逻辑缺陷：
- • Kubernetes 调度器仅检查节点的 CPU/内存资源，不检查端口冲突。
- • 根本原因：hostPort 通过 iptables 实现，不实际占用端口，导致调度器认为“端口可用”。
• 冲突的随机性：
- • Pod 启动顺序受镜像拉取速度、节点负载等因素影响，导致冲突随机发生。

第二部分：故障复现——亲手制造一场“端口战争”

实验环境准备

集群配置：
- 1个控制平面节点 + 2个 Worker 节点（推荐使用 Kind 或 Minikube 快速搭建）。

工具安装：

# 安装网络诊断工具
apt-get install -y net-tools tcpdump  
kubectl apply -f https://raw.githubusercontent.com/nginxinc/nginx-unprivileged/main/nginx-unprivileged.yaml

步骤一：部署 hostNetwork 型 DaemonSet

# host-network-ds.yaml
apiVersion: apps/v1
kind: DaemonSet
metadata:
  name: host-network-demo
spec:
  selector:
    matchLabels:
      app: host-network-demo
  template:
    metadata:
      labels:
        app: host-network-demo
    spec:
      hostNetwork: true  # 关键配置
      containers:
      - name: nginx
        image: nginx:alpine
        ports:
        - containerPort: 80  # 监听宿主机80端口

步骤二：部署 hostPort 型普通 Pod

# host-port-pod.yaml
apiVersion: v1
kind: Pod
metadata:
  name: host-port-demo
spec:
  containers:
  - name: nginx
    image: nginx:alpine
    ports:
    - containerPort: 80
      hostPort: 80  # 关键配置

步骤三：观察“量子态”端口冲突

场景一：DaemonSet 先启动

kubectl apply -f host-network-ds.yaml  
kubectl apply -f host-port-pod.yaml  
kubectl get pods -o wide  # 查看 Pod 状态

结果：host-port-demo Pod 报错 Bind: address already in use。

场景二：删除 DaemonSet 后启动普通 Pod

kubectl delete -f host-network-ds.yaml  
kubectl apply -f host-port-pod.yaml  
kubectl apply -f host-network-ds.yaml

结果：DaemonSet 的 Pod 无法启动，报错相同。

步骤四：深入诊断网络命名空间

宿主机视角：

# 查看宿主机端口监听
netstat -tulnp | grep 80  
# 输出：tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 1234/nginx

结论：当 DaemonSet 运行时，宿主机 80 端口被占用。

容器网络命名空间视角：

# 获取容器 PID
docker ps | grep host-port-demo  
docker inspect --format '{{.State.Pid}}' <容器ID>  

# 进入容器网络命名空间
nsenter -n -t <容器PID>  
netstat -tulnp | grep 80  # 此时可看到容器内监听80端口

结论：hostPort 型 Pod 在容器内监听端口，但宿主机通过 iptables 转发。

第三部分：终极解决方案——从止血到根治

方案一：彻底弃用危险配置（推荐）

替代 hostNetwork：

使用 NodePort 服务：

apiVersion: v1
kind: Service
metadata:
  name: log-agent
spec:
  type: NodePort
  selector:
    app: log-agent
  ports:
  - protocol: TCP
    port: 80
    targetPort: 80
    nodePort: 30080  # 指定非特权端口

使用 HostPort 替代品：

# 通过 CNI 插件（如 Cilium）的 HostFirewall 功能，避免直接暴露端口。

方案二：精细化端口管理（复杂但灵活）

端口池管理：

定义节点端口分配范围（如 30000-32767），通过数据库或 ConfigMap 记录已用端口。

代码示例：

# 端口分配伪代码
def allocate_port(node):
    used_ports = get_used_ports_from_configmap()
    for port in range(30000, 32768):
        if port not in used_ports:
            update_configmap(port)
            return port
    raise Exception("No available ports!")

调度器扩展：

开发自定义调度器插件，检查节点端口使用情况。

示例逻辑：

func FilterPortConflict(pod *v1.Pod, nodeInfo *schedulernodeinfo.NodeInfo) bool {
    hostPorts := getHostPorts(pod)
    for _, port := range hostPorts {
        if nodeInfo.Ports()[port] {
            return false  // 端口冲突，不可调度
        }
    }
    return true
}

方案三：防御性编程（临时止血）

Pod 启动脚本：

# 在容器启动前检查端口
if ss -tuln | grep ":80 "; then
    echo "端口80已被占用！"
    exit 1
fi

Sidecar 容器监控：

部署一个 Sidecar 容器，持续检查端口占用情况并上报 Prometheus。

Prometheus 告警规则：

- alert: PortConflictDetected
  expr: count(port_usage{port="80"} > 0) > 1
  for: 1m
  annotations:
    summary: "节点 {{ $labels.instance }} 的80端口存在冲突！"

第四部分：高级防御工事——集群级安全加固

防御层一：准入控制（Admission Control）

使用 OPA Gatekeeper：

策略模板：禁止任何 Pod 使用 hostNetwork 或 hostPort。

package kubernetes.admission

deny[msg] {
    input.request.kind.kind == "Pod"
    input.request.object.spec.hostNetwork == true
    msg := "禁止使用 hostNetwork！"
}

deny[msg] {
    input.request.kind.kind == "Pod"
    container := input.request.object.spec.containers[_]
    port := container.ports[_]
    port.hostPort != null
    msg := sprintf("禁止使用 hostPort: %v", [port.hostPort])
}

部署策略：

kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper-library/master/library/pod-security-policy/allow-host-network/template.yaml

防御层二：网络策略（Network Policy）

限制 hostNetwork Pod 的网络权限：

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: block-hostnetwork
spec:
  podSelector:
    matchLabels:
      # 选择所有非 hostNetwork Pod
      app: "non-hostnetwork"
  policyTypes:
  - Ingress
  - Egress
  ingress:
  - from: []
  egress:
  - to: []

防御层三：监控与溯源

实时端口监控看板（Grafana）：
- 数据源：通过 node-exporter 自定义指标采集端口状态。
- 面板设计：
  - 热力图展示各节点端口占用情况。
  - 标记高危端口（如 80、443）并设置阈值告警。
- 查询示例：
```
# 检测节点80端口冲突
count by (instance) (node_port_usage{port="80"} > 0)
```

终极真相：为什么 Kubernetes 允许这种“危险操作”？

• 设计哲学：
Kubernetes 遵循“灵活性优先”原则，允许高级用户突破抽象层，直接操作底层资源。
• 代价：
能力越大，责任越大——开发者必须深刻理解 Linux 网络栈和 Kubernetes 调度机制，否则极易引发“容器级核泄漏”。

总结：从“端口战争”到“人剑合一”

避坑口诀：

非必要不用 hostNetwork，用 hostPort 不如用 NodePort，用 NodePort 不如用 Ingress！

运维哲学：
- 像管理物理服务器一样谨慎对待 hostNetwork。
- 像防范 SQL 注入一样防范端口冲突。
终极目标：
让每个端口都有自己的“身份证”，让每次调度都经过“安检门”，让 Kubernetes 真正成为可控的“容器宇宙”！

附录：故障排查命令速查表

场景	命令
检查宿主机端口	`netstat -tulnp \| grep <端口>`
查看容器网络命名空间	`nsenter -n -t <容器PID> netstat -tulnp`
追踪 iptables 规则	`iptables -t nat -L \| grep <端口>`
快速定位冲突 Pod	`kubectl get pods -A -o json \| jq '.items[] \| select(.spec.hostNetwork == true)'`

注：生产环境请勿随意执行 hostNetwork: true，除非你想在凌晨三点接到老板的电话！ 📞💥