docker实践-zombie进程容器

最新推荐文章于 2024-06-30 23:25:52 发布
最新推荐文章于 2024-06-30 23:25:52 发布
阅读量1.6k 收藏
点赞数
分类专栏: 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hubanbei2010/article/details/68489847
版权

背景:现从事一个容器云产品线的测试工作
场景,假设现在有一个黑客,对产品线进行攻击,在容器云平台上创建了一个容器,容器的启动进程为循环创建zombie进程。
测试点1,容器云产品是否支持僵死进程的stop/ kill
测试点2,容器云产品容器间的隔离性是否足够强,该制造僵死进程的容器是否影响同宿主机上的其他正常用户容器进程的运行。

准备二进制程序

src file:
// zombie_pod.c
// /*  create a zombie process*/
 #include <sys/types.h>
 //#include <signal.h>
 #include <unistd.h>
 #include <stdlib.h>
 #include <stdio.h>
 #include <signal.h>

static void sig_child(int signo)
 {
      pid_t        pid;
      int        stat;
      //处理僵尸进程
      while ((pid = waitpid(-1, &stat, WNOHANG)) >0)
             printf("child %d terminated.\n", pid);
 }
 int main()
 {
     pid_t pid;

        //signal(SIGCHLD,sig_child);
        pid= fork();

        if(pid < 0){
            printf("create child process error!\n");
        }
        else{
            if(pid==0){
                printf("child process %d, father process %d\n",getpid(),getppid());
                exit(0);
            }else{
                printf("current father process, child process:%d, father process:%d\n",getpid(),getppid());
                system("ps -o pid,ppid,state,tty,command\n");
                while(1){
                    sleep(1);
                }
            }
        }


    return 0;
}

gcc编译成可执行程序 zombie

创建dockerfile

1 FROM ubuntu
2 ADD ./zombie /
3 CMD ["/zombie"]

注意⚠️: 1)ADD 指令的第一个参数是Dockerfile文件的相对路径

build 成image

docker build  --tag=cs-kirk/zombie:demo  /Users/shaofangma/code/test/zombie_test/

hh:zombie_test shaofangma$ docker images
REPOSITORY          TAG                 IMAGE ID            CREATED             SIZE
cs-kirk/zombie      demo                073718459496        8 seconds ago       130 MB

注意⚠️:build的最后一个参数, 是 Dockerfile所在路径

push到regestry

hh:zombie_test shaofangma$ export QCOSINDEXHOST=https://index-dev.qiniu.io
hh:zombie_test shaofangma$ kirk images push cs-kirk/zombie:demo

启动执行zombie

hh:zombie_test shaofangma$ kirk images
IMAGE                            DIGEST                                                    ACCESS        SIZE      CREATED
cs-kirk/helloworld-go:demo       sha256:774d6d987e855914491ede583ecf55ff34828458ef699..    READ/WRITE    50 MB     10 weeks
cs-kirk/mongo:demo               sha256:aff0c497cff4f116583b99b21775a8844a17bcf5c69f7..    READ/WRITE    143 MB    10 weeks
cs-kirk/mongo-express:demo       sha256:4c67301f80f256c59770ca9fd721d560fd810e5a9ac1f..    READ/WRITE    96 MB     10 weeks
cs-kirk/nginx:latest             sha256:c7c1149150a8f7536bd19b70ea34748bf9dfbc93e5dee..    READ/WRITE    47 MB     7 months
cs-kirk/zombie:demo              sha256:73b811e8360ccd7a72adc2b5a0446d5681c7a8324aa61..    READ/WRITE    48 MB     About an hour

hh:zombie_test shaofangma$ kirk services run msf/zombie -i cs-kirk/zombie:demo
kirk 0.5.6 is now available (current: 0.5.5). Use 'kirk upgrade' to upgrade to latest version.
hh:zombie_test shaofangma$ kirk ps
CONTAINER       SERVICE       REV    STATUS                   ERROR
10.128.62.88    msf/java      1      Up About an hour
10.128.62.57    msf/zombie    1      Up Less than a second
kirk 0.5.6 is now available (current: 0.5.5). Use 'kirk upgrade' to upgrade to latest version.
hh:zombie_test shaofangma$ kirk services
SERVICE       IMAGE                  REV    UNIT_TYPE    N    STATEFUL    STATE       STATUS         MODIFIED
msf/java      library/java:7         1      1U1G         1    N           DEPLOYED    RUNNING        About an hour ago
msf/zombie    cs-kirk/zombie:demo    1      1U1G         1    N           DEPLOYED    NOT-RUNNING    9 seconds ago
kirk 0.5.6 is now available (current: 0.5.5). Use 'kirk upgrade' to upgrade to latest version.
hh:zombie_test shaofangma$ kirk ps
CONTAINER       SERVICE       REV    STATUS              ERROR
10.128.62.88    msf/java      1      Up About an hour
10.128.62.57    msf/zombie    1      EXITED
kirk 0.5.6 is now available (current: 0.5.5). Use 'kirk upgrade' to upgrade to latest version.

service 没有正常启动,短暂up 然后切回EXITED

如何排查问题??

1。更新service

hh:zombie_test shaofangma$ kirk services update msf/zombie --cmd 'sleep 9999' 
kirk 0.5.6 is now available (current: 0.5.5). Use 'kirk upgrade' to upgrade to latest version.
hh:zombie_test shaofangma$ kirk ps
CONTAINER       SERVICE       REV    STATUS              ERROR
10.128.62.88    msf/java      1      Up About an hour
10.128.62.57    msf/zombie    2      Up 2 seconds

2。然后进入容器,执行启动程序

hh:zombie_test shaofangma$ kirk ssh msf/zombie
root@10-128-62-57:/# ls
bin  boot  dev  etc  home  lib  lib64  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var  zombie
root@10-128-62-57:/# ./zombie
bash: ./zombie: cannot execute binary file: Exec format error

原因:发现执行格式问题
反思,二进制程序是在mac上build的 。现在在ubuntu运行 ,当然fail。

重新修改二进制程序

balabala。。。

重新打包images

hh:zombie_test shaofangma$ docker build  --tag=cs-kirk/zombie:v1  /Users/shaofangma/code/test/zombie_test/
Sending build context to Docker daemon 20.48 kB
Step 1 : FROM ubuntu
 ---> 0ef2e08ed3fa
Step 2 : ADD ./zombie /
 ---> 72bfdbbce835
Removing intermediate container a06e470c78d9
Step 3 : CMD /zombie
 ---> Running in a7a73f30fa98
 ---> 70a8068f57e9
Removing intermediate container a7a73f30fa98
Successfully built 70a8068f57e9
hh:zombie_test shaofangma$ docker build  --tag=cs-kirk/zombie:demo  /Users/shaofangma/code/test/zombie_test/
Sending build context to Docker daemon 20.48 kB
Step 1 : FROM ubuntu
 ---> 0ef2e08ed3fa
Step 2 : ADD ./zombie /
 ---> Using cache
 ---> 72bfdbbce835
Step 3 : CMD /zombie
 ---> Using cache
 ---> 70a8068f57e9
Successfully built 70a8068f57e9
hh:zombie_test shaofangma$ docker images
REPOSITORY                          TAG                 IMAGE ID            CREATED             SIZE
cs-kirk/zombie                      demo                70a8068f57e9        47 seconds ago      130 MB
cs-kirk/zombie                      v1                  70a8068f57e9        47 seconds ago      130 MB

此处 ,我build了两个tag(demo &v1) ,其实只是相当于重命名,实际工程中,应该是build成同名镜像,这样后续升级容器的时候才能直接update。
后续,再push到kirk regestry 或者docker 官方 registry。

升级原来部署的不能运行的容器

hh:zombie_test shaofangma$ kirk services update msf/zombie
kirk 0.5.6 is now available (current: 0.5.5). Use 'kirk upgrade' to upgrade to latest version.
hh:zombie_test shaofangma$ kirk services
SERVICE       IMAGE                  REV    UNIT_TYPE    N    STATEFUL    STATE       STATUS     MODIFIED
msf/java      library/java:7         1      1U1G         1    N           DEPLOYED    RUNNING    2 hours ago
msf/zombie    cs-kirk/zombie:demo    3      1U1G         1    N           DEPLOYED    RUNNING    2 seconds ago

ssh到容器进行检验:发现ready了,一个zombie进程的容器起来了

hh:zombie_test shaofangma$ kirk ssh msf/zombie
root@10-128-62-57:/# ls
bin  boot  dev  etc  home  lib  lib64  media  mnt  opt  proc  root  run  sbin  srv  sys  tmp  usr  var  zombie
root@10-128-62-57:/# ./zombie
current father process, child process:27, father process:16
child process 28, father process 27
    PID    PPID S TT       COMMAND
     16       0 S ?        /bin/bash
     27      16 S ?        ./zombie
     28      27 Z ?        [zombie] <defunct>
     29      27 S ?        sh -c ps -o pid,ppid,state,tty,command
     30      29 R ?        ps -o pid,ppid,state,tty,command

奇怪的现象出现了,第二天到公司,发现容器又处于“EXITED“
这里写图片描述
这里写图片描述
此时,该查看容器详情 内部运行的command,为“sleep 9999“,

然后执行更新操作:

hh:zombie_test shaofangma$ kirk services update msf/zombie -c '/zombie'
kirk 0.5.6 is now available (current: 0.5.5). Use 'kirk upgrade' to upgrade to latest version.

这里写图片描述

再次查看容器状态,变成正常”UP”,服务状态变成“running“
进入容器内部,查看是否存在僵死进程,

hh:zombie_test shaofangma$ kirk ssh msf/zombie
root@10-128-62-57:/# ps auwx
USER         PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root           1  0.0  0.0   1060     4 ?        Ss   02:00   0:00 /dev/init /zombie
root           7  0.0  0.0   4364   624 ?        S    02:00   0:00 /zombie
root           8  0.0  0.0      0     0 ?        Z    02:00   0:00 [zombie] <defunct>
root          39  0.2  0.0  18252  3232 ?        Ss   02:15   0:00 /bin/bash
root          49  0.0  0.0  34428  2836 ?        R+   02:15   0:00 ps auwx

图中state 为“Z“ 即为僵尸进程。

[1].参考资料:
http://www.cnblogs.com/Anker/p/3271773.html

马少芳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
docker-compose-linux-x86_64
09-21
Docker-Compose项目是Docker官方的开源项目,负责实现对Docker容器集群的快速编排。 Docker-Compose将所管理的容器分为三层,分别是工程(project),服务(service)以及容器container)。Docker-Compose运行...
Container [pid=7204,containerID=container_1607355221856_0001_01_000002] is running beyond virtual me
weixin_43999048的博客
12-07 2166
问题描述: 0/12/07 23:36:07 INFO client.RMProxy: Connecting to ResourceManager at master/192.168.21.132:8032 20/12/07 23:36:12 INFO input.FileInputFormat: Total input paths to process : 1 20/12/07 23:36:13 INFO mapreduce.JobSubmitter: number of splits:1 20/12/0
Docker进程异常终止导致的僵尸进程处理思路
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
02-07 2182
而我们一般拉起/运行一个Docker实例,会跟一个初始启动命令,这个就是docker实例里所有多进程的父进程(它也是pid=1),一旦该进程异常,提前死了,这就导致docker其内其他进程变为僵尸进程,甚至会产生大量的僵尸进程,影响宿主系统的运行,被宿主机init/systemd接管。运行(一般是调用exit、运行时发生致命错误或收到终止信号所导致)时,子进程的退出状态(返回值)会回报给操作系统,系统则以SIGCHLD信号将子进程被结束的事件告知父进程,此时子进程进程控制块(PCB)仍驻留在内存中。
容器进程
最新发布
博客
06-30 387
容器进程和宿主机进程的关系,如何在容器kill容器中的进程
容器中的僵尸进程
开心就好的专栏
12-31 2058
tini学习, 回收僵尸进程
linux 识别僵尸进程,检测Linux上的pid是否是僵尸
weixin_35969684的博客
04-28 423
您需要使用proc(5)文件系统.访问其中的文件(例如/ proc / 1234 / stat …)非常快(它不涉及任何物理I / O).你可能想要/ proc / 1234 / stat中的第三个字段(每个人都可以读取,但是你应该按顺序读取它,因为它是不可见的.).如果该字段是Z,那么pid 1234的过程是僵尸.无需分叉进程(例如withpopen或system),在C中你可能编写代码pid_...
signature=f4447be2b03f94d344842fd53c708af2,nba/yarn.lock at 2f92e19f45008cc37dbff8c210320bed05e43377...
热门推荐
weixin_39793553的博客
05-29 13万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/cli@^7.5.5":version "7.5.5"resolved "https://registry.yarnpkg.com/@babel/cli/-/cli-7.5.5.tgz#bdb6d9169e93e241a...
docker使用遇到的问题
jq656021898的博客
10-14 4057
docker pull 报:failed to register layer: Error processing tar file(exit status 1): write /usr/lib64/libclangFrontend.a: no space left on device 处理方法,参考:https://www.jianshu.com/p/8239d32f19e6
docker-compose 容器部署 mqtt
07-30
docker-compose 容器部署 mqtt 配置文件
docker-compose-linux-aarch64
12-14
标题中的"docker-compose-linux-aarch64"表明这是一个针对Linux系统,特别是基于AArch64(也称为ARM64)架构的Docker Compose版本。AArch64是ARM架构的一种64位变体,广泛应用于服务器、嵌入式设备和移动设备,如高...
Docker-compose-2.4.1安装包
04-25
Free。Docker-compose-2.4.1安装包:Linux。
DockerToolbox-19.03.1.rar
07-22
Docker Compose 用于运行docker-compose命令 Kitematic,Docker GUI 为Docker命令行环境预先配置的Docker QuickStart shell Oracle VM VirtualBox 由于Github下载比较慢,这里我把该安装包下载下来以方便
/bin/bash: cannot execute binary file
耕耘
01-05 2656
容器内部无法执行二进制文件,/bin/bash: cannot execute binary file
彻底杀死docker
阿邦的博客
09-08 3183
使用service、systemctl 命令关闭docker守护进程
docker 容器 defunct 僵尸进程
whatday的专栏
02-01 5597
在构建 Docker 容器时,我们需要注意子进程的“僵尸化”问题(PID 1 Zombie Reaping Problem)。这会导致不可预知的和看起来匪夷所思的问题。本文解释了这个问题,也解释了如何去解决,并提供了一种预构建方案:Baseimage-docker 。 在通篇阅读之后,还有第二篇: 《docker 僵尸进程解决方案 Baseimage-docker,胖容器和“容器也是虚拟机”》...
【devOps】jenkins+gitee+docker 教程(linux) 解决docker .: /bin/docker: cannot execute binary file
孟秋与你的博客
12-22 4384
前置声明 我的是4G服务器 部了个rocketmq集群 一个mariadb 一个jenkins 一个docker, jenkins就时不时要崩一下。即使服务器只用来部署jenkins+docker ,估计 2G服务器也够呛 所以注意自己服务器配置,如果低内存仍要尝试的话,在部署不起来的时候,排查问题时务必注意是因为操作失误还是硬件配置问题 jenkins安装 之前针对安装jenkins单独写了一篇文章 https://blog.csdn.net/qq_36268103/article/details/12
僵尸进程和孤儿进程docker
star0116的博客
04-12 470
当一个子进程终止后,它首先会变成一个“失效(defunct)”的进程,也称为“僵尸(zombie)”进程,等待父进程或系统收回(reap)。在Linux内核中维护了关于“僵尸”进程的一组信息(PID,终止状态,资源使用信息),从而允许父进程能够获取有关子进程的信息。如果不能正确回收“僵尸”进程,那么他们的进程描述符仍然保存在系统中,系统资源会缓慢泄露。 大多数设...
解决容器僵尸进程
Ffffatass的博客
08-02 630
在服务器上发现有大量的僵尸进程,通过进程号等信息发现是rancher中的rancher-agent容器中存在大量僵尸进程。 首先,进程号是一种资源,在宿主机中是有限的。存在大量僵尸进程的情况就可能会导致整个宿主机的进程号资源被全部占用,导致无法启动新的进程。 查看该容器pids.max,发现其pid cgroups并没有限制,值为max。也就是该容器到最后会将进程号占用完,导致宿主机出现问题。 可以通过修改pids.max的方式,通过cgroup对其限制。但是显然这种情况是治标不治本的。那么,
进程状态 为什么容器里有这么多僵尸进程
小楼一夜听春雨,深巷明朝卖杏花
08-05 1202
今天我们来聊一聊容器里僵尸进程这个问题。 说起僵尸进程,相信你并不陌生。很多面试官经常会问到这个知识点,用来考察候选人的操作系统背景。通过这个问题,可以了解候选人对 Linux 进程管理和信号处理这些基础知识的理解程度,他的基本功扎不扎实。 所以,今天我们就一起来看看容器里为什么会产生僵尸进程,然后去分析如何怎么解决。 通过这一讲,你就会对僵尸进程的产生原理有一个清晰的认识,也会更深入地理解容器 init 进程的特性。 问题再现 我们平时用容器的时候,有的同学会发现,自己的容器运行久了之...
docker ps -a启动容器
08-18
要启动所有的容器,您可以使用"docker ps -a"命令。该命令将显示所有已经创建的容器,无论它们是否正在运行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [docker ps-docker ps a-docker ps无反应-docker ps是什么意思-docker ps命令解析-docker进程ps-嗨客网](https://blog.csdn.net/weixin_42118056/article/details/117054949)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

马少芳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值