如何DEBUG一个正在运行的POD

已于 2024-05-29 09:48:55 修改
阅读量816 收藏 8
点赞数 25
分类专栏: 实践问题 技术知识 文章标签: 容器 运维 docker
于 2024-05-29 09:47:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48163535/article/details/139286043
版权

参考文档
https://kubernetes.io/zh-cn/docs/tasks/debug/debug-application/debug-running-pod/

原理
K8S会使用debug镜像在POD里起一个EphemeralContainer,和目标container共享linux namespace,但是注意他们不共享rootfs和mountfs,两者的文件系统是独立的。

想访问目标container的文件系统,需要在EphemeralContainer先cd /proc/1/root/,然后才能看到对方的文件系统,如图访问es的/tmp:

开启方法:
注:K8S1.22以下需要手动开启,1.23默认开启

step1:在master node的/etc/kubernetes/manifests/kube-apiserver.yaml

  • –feature-gates=RemoveSelfLink=false,EphemeralContainers=true

step2: 在slave node上

sed -i ‘s/“/ --feature-gates=EphemeralContainers=true”/2’ /var/lib/kubelet/kubeadm-flags.env

systemctl restart kubelet

使用命令进入交互界面:
kubectl debug -it --image= -n --target=
以测试POD为例:

kubectl debug -it function-test-testdaily-XXXX --image=harbor.tsingj.local/re_release/test_debug:v2.4.0rc14-1131-gf2d8127c0 -n chenwei1 --target=function-test
操作举例:

  1. 抓包/监控流量:网络操作必须使用root用户,用test_debug可以su root, 输入密码qwer1234.

iftop

tcpdump

2)jstack等jdk工具

镜像必须和被debug的container里的用户相同:privpy,然后镜像里的jdk最好与产品版本一致。

高权限调试方法
有些命令例如strace/ptrace需要更高系统权限,因此用上面的kubectl debug命令没用办法使用(目前kubectl debug命令还不支持设置securitycontext),所以可以使用下面的办法

方法1:起一个POD共享k8s node的namespace
Step1: 查找你需要debug的POD所在node,例如:
开发 > Debug a running pod > image2023-4-10_17-55-20.png

Step2: 使用我们的test_debug镜像在这个node上起一个pod然后exec -it进入这个pod,su root,找到你想debug的进程号再使用strace:
kubectl apply -f node_pod.yaml -n chenwei1
kubectl exec -it -n chenwei1 node-debugger – /bin/bash
su root
ps -efH | grep privpy
使用的yaml文件如下,需要改下nodeName为step1中所查得node

apiVersion: v1
kind: Pod
metadata:
  name: node-debugger
spec:
  containers:
  - image: harbor.tsingj.local/re_release/test_debug:v2.4.0rc14-1131-gf2d8127c0
    imagePullPolicy: IfNotPresent
    name: debugger
    resources: {}
    stdin: true
    tty: true
    command: [ "/bin/bash", "-c", "sleep 6000s" ]
    securityContext:
      privileged: true
      allowPrivilegeEscalation: true
    volumeMounts:
    - mountPath: /host
      name: host-root
    - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
      name: kube-api-access-97p2b
      readOnly: true
  dnsPolicy: ClusterFirst
  enableServiceLinks: true
  hostIPC: true
  hostNetwork: true
  hostPID: true
  nodeName: k8sdeploy-node315
  preemptionPolicy: PreemptLowerPriority
  priority: 1
  priorityClassName: low-priority
  restartPolicy: Never
  schedulerName: default-scheduler
  securityContext: {}
  serviceAccount: default
  serviceAccountName: default
  terminationGracePeriodSeconds: 30
  tolerations:
  - effect: NoExecute
    key: node.kubernetes.io/not-ready
    operator: Exists
    tolerationSeconds: 300
  - effect: NoExecute
    key: node.kubernetes.io/unreachable
    operator: Exists
    tolerationSeconds: 300
  volumes:
  - hostPath:
      path: /
      type: ""
    name: host-root
  - name: kube-api-access-97p2b
    projected:
      defaultMode: 420
      sources:
      - serviceAccountToken:
          expirationSeconds: 3607
          path: token
      - configMap:
          items:
          - key: ca.crt
            path: ca.crt
          name: kube-root-ca.crt
      - downwardAPI:
          items:
          - fieldRef:
              apiVersion: v1
              fieldPath: metadata.namespace
            path: namespace

方法2: 由于kubectl debug不支持加上securityContext,可以使用go 脚本来加上securityContext,代码如下,但是还没有调通,可能是目前的k8s版本还不支持。

package main

import (
    "context"
    "fmt"
    "log"
    "os"

    corev1 "k8s.io/api/core/v1"
    metav1 "k8s.io/apimachinery/pkg/apis/meta/v1"
    "k8s.io/client-go/kubernetes"
    "k8s.io/client-go/tools/clientcmd"
)

func main() {
    logger := log.New(os.Stdout, "[Debug] - ", log.Lshortfile)
    if len(os.Args) != 4 {
       panic("expected three args")
    }
    podNamespace := os.Args[1]
    podName := os.Args[2]
    kubeconfigPath := os.Args[3]

    // Create the client
    client, err := getKubernetesClients(kubeconfigPath)
    if err != nil {
       panic(fmt.Errorf("could not create client: %w", err))
    }
    ctx := context.Background()

    // Get the Pod
    pod, err := client.CoreV1().Pods(podNamespace).Get(ctx, podName, metav1.GetOptions{})
    logger.Println(pod.Name)
    logger.Println(pod.Spec)

    if err != nil {
       panic(fmt.Errorf("could not get pod: %w", err))
    }

    // Add a new ephemeral container
    trueValue := true
    ephemeralContainer := corev1.EphemeralContainer{
       TargetContainerName: "demo",
       EphemeralContainerCommon: corev1.EphemeralContainerCommon{
          Name:  "debug",
          Image: "quay.io/iovisor/bpftrace:latest",
          TTY:   true,
          SecurityContext: &corev1.SecurityContext{
             Privileged:               &trueValue,
             AllowPrivilegeEscalation: &trueValue,
          },
       },
    }
    pod.Spec.EphemeralContainers = append(pod.Spec.EphemeralContainers, ephemeralContainer)

    pod, err = client.CoreV1().Pods(pod.Namespace).UpdateEphemeralContainers(ctx, pod.Name, pod, metav1.UpdateOptions{})
    if err != nil {
       panic(fmt.Errorf("could not add ephemeral container: %w", err))
    }
}

func getKubernetesClients(path string) (kubernetes.Interface, error) {
    cfg, err := clientcmd.BuildConfigFromFlags("", path)
    if err != nil {
       return nil, err
    }
    client, err := kubernetes.NewForConfig(cfg)
    if err != nil {
       return nil, err
    }
    return client, nil
}
weixin_48163535
关注
  • 25
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
超好用的k8s中pod诊断工具:kubectl-debug
wanger5354的博客
12-21 713
微信公众号:运维开发故事,作者:冬子先生 背景 容器技术的一个最佳实践是构建尽可能精简的容器镜像。但这一实践却会给排查问题带来麻烦:精简后的容器中普遍缺失常用的排障工具,部分容器里甚至没有 shell (比如 FROM scratch )。 在这种状况下,我们只能通过日志或者到宿主机上通过 docker-cli 或 nsenter 来排查问题,效率很低,在K8s环境部署应用后,经常遇到需要进入pod进行排错。除了查看pod logs和describe方式之外,传统的解决方式是在业务pod基础镜像中提前..
DaemonSet确保节点运行一个 Pod 的副本
yunweimao的博客
08-24 1367
1、简介DaemonSet 确保全部(或者某些)节点上运行一个 Pod 的副本。当有节点加入集群时, 也会为他们新增一个 Pod 。当有节点从集群移除时,这些 Pod 也会被回收。删除 ...
简化 Pod 故障诊断:kubectl-debug 介绍
Docker的专栏
07-13 579
背景容器技术的一个最佳实践是构建尽可能精简的容器镜像。但这一实践却会给排查问题带来麻烦:精简后的容器中普遍缺失常用的排障工具,部分容器里甚至没有 shell (比如 FR...
kubectl-debug:通过一个预装有所有故障排除工具的新容器调试Pod
02-02
kubectl-debug是一种用于进行的树外解决方案,它允许您在运行中的Pod运行容器以进行调试()。 新的容器将加入目标容器的pid , network , user和ipc命名空间,因此您可以使用任意的故障排除工具,而无需将其...
pod 添加支持断点调试的静态库
08-27
1. **创建Podspec文件**:在静态库项目的根目录下创建一个名为`MyLibrary.podspec`的文件。在这个文件中,你需要指定库的名称、版本、作者信息以及源代码路径等。例如: ```ruby Pod::Spec.new do |s| s.name = ...
doks-debug:带有Kubernetes的Docker镜像清单用于调查和故障排除
05-15
确保包含我们的Docker映像的pod无限期地在每个节点上运行。 使用hostPID , hostIPC和hostNetwork 。 将整个主机文件系统挂载到容器中的/host上。 从主机挂载/var/run/docker.sock 。 为了利用这些工作负载,您...
iConsole使用示例 实现程序内debug
01-23
总的来说,iConsole是一个强大且灵活的iOS调试工具,它极大地提升了远程调试的效率。通过合理的集成和使用,你可以更好地理解和解决问题,从而提升开发效率。无论是在测试环境中还是在客户现场,iConsole都能成为你...
gitpod-dotnet-csharp-breakpoints
03-15
Gitpod一个云端开发环境,它允许开发者在浏览器中直接编写、运行和测试代码,而无需在本地设置复杂的开发环境。这个名为 "gitpod-dotnet-csharp-breakpoints" 的项目显然是针对 .NET 和 C# 开发者设计的,旨在...
ConfigMap-secrets-静态pod
weixin_46466657的博客
07-14 2554
ConfigMap资源,简称CM资源,它生成的键值对数据,存储在ETCD数据库中应用场景:主要是对应用程序的配置pod通过env变量引入ConfigMap,或者通过数据卷挂载volume的方式引入ConfigMap资源官方解释:configMap 卷提供了向 Pod 注入配置数据的方法。ConfigMap 对象中存储的数据可以被 configMap 类型的卷引用,然后被 Pod运行容器化应用使用。引用 configMap 对象时,你可以在卷中通过它的名称来引用。
分布式存储Ceph的部署及应用(创建MDS、RBD、RGW 接口)
weixin_44112402的博客
07-17 545
存储机制会把数据分散存储到多个节点上,具有高扩展性、高性能、高可用性等优点。Ceph使用C++语言开发,是一个开放、自我修复和自我管理的开源分布式存储系统。具有高扩展性、高性能、高可靠性的优点。Ceph目前已得到众多云计算厂商的支持并被广泛应用。RedHat及OpenStack,Kubernetes都可与Ceph整合以支持虚拟机镜像的后端存储。粗略估计,我国70%—80%的云平台都将Ceph作为底层的存储平台,由此可见Ceph俨然成为了开源云平台的标配。
Nginx入门到精通五(动静分离)
一条大河
07-14 290
动静分离介绍Nginx动静分离是把动态请求和静态请求分开,而不能理解为把动态页面和静态页面物理分离。可以理解为Nginx处理静态页面,Tomcat处理动态页面。动静分离实现上分为两种,方案1:主流方案,纯粹把静态文件独立成单独的域名,放在独立服务器上;方案2:动态文件和静态文件放在一起,通过Nginx来分开;通过location指定不同后缀名实现不同请求的转发;静态请求时,可以通过expires参数设置浏览器缓存过期时间,减少客户端和服务器之间的请求和流量。
CI/CD详解 & Jenkins 介绍与实战
my的博客
07-16 900
本文大纲概览: CI/CD 概念与工作流程 详解 Jenkins安装、启动、初始化配置 使用Jenkins部署github上的 xzll-im 微服务项目 freestyle方式 push代码后自动部署 pipeline方式部署 pipeline + push 方式 本文实操过程中,相关工具版本信息如下: centos版本: CentOS Linux release 7.9.200...
portainer教程-docker可视化管理工具
chaoren499的专栏
07-17 420
很多朋友刚接触docker 学习,就想问 docker有图形化界面吗 ,答案是肯定的, 这里白眉大叔 给大家推荐 Docker可视化管理平台 -- Portainer。
Docker---最详细的服务部署案例
weixin_57999977的博客
07-15 387
提供python服务的一键部署,负载均衡
docker将Java、vue、nginx打进镜像(涉及容器打成镜像)
qq_37752382的博客
07-15 565
按照上文拉取centos7,然后将需要的东西直接打进脚本,这样最简单,但是在拉取过程中,初始镜像contos7安装nginx需要安装一些工具包,拉取的时候报错了,原因还是在镜像源上,并且还想在上面装一些工具,另外创建容器不应该在里面做很多初始化的东西,每次更新业务包就行,4)准备文件完成后执行下面的就行(如果配置文件不对,比如nginx的配置等先进入镜像手动调整好,没问题了,再删除掉容器和镜像重新制作镜像即可)本文不讲安装docker,安装好安装,镜像源稍微麻烦点。1)生成镜像并创建容器
Langchain-Chatchat3.1版本docker部署流程——知识库问答
最新发布
qq_38531623的博客
07-18 215
langchain-chatchat3.1 docker部署 知识库问答篇
【星海随笔】vCenter Server 和主机管理。
weixin_41997073的博客
07-16 195
1.方法:删除页面信息,然后断连这个受管主机,断开受管主机的连接不会将其从 vCenter Server 中移除,而只是临时挂起 vCenter Server 执行的所有监控活动。2.方法:在分布式存储中找到该虚拟设备的存储盘,文件里找到相关的vmdk磁盘文件,点击注册虚拟机。当资料不匹配时候,可以删除展示页面,孤立的设备的 匹配位置的信息。断开后,然后重新连接,既可以重新识别受监管的主机。数据库在Vserver中展示的是一个数据库的资料,应该是client的资料。1.确定为资料不匹配导致的展示问题。
使用deployment运行三个mysql的pod
05-11
要在 Kubernetes 集群中运行三个 MySQL Pod,需要创建一个具有三个副本的 StatefulSet,每个副本都运行一个 MySQL Pod。下面是一个示例 YAML 文件的片段,该文件创建一个 StatefulSet,其中包含三个 MySQL Pod: ``` apiVersion: apps/v1 kind: StatefulSet metadata: name: mysql spec: serviceName: mysql replicas: 3 selector: matchLabels: app: mysql template: metadata: labels: app: mysql spec: containers: - name: mysql image: mysql:latest env: - name: MYSQL_ROOT_PASSWORD value: password ports: - containerPort: 3306 volumeMounts: - name: mysql-data mountPath: /var/lib/mysql volumes: - name: mysql-data persistentVolumeClaim: claimName: mysql-pvc ``` 在这个 YAML 文件中,我们定义了一个 StatefulSet,它使用了一个名为“mysql”的服务,并运行了三个副本。每个 Pod 都使用了 MySQL 官方镜像,并挂载了一个名为“mysql-data”的持久卷用于数据存储。你可以使用 kubectl apply 命令将这个 YAML 文件应用到 Kubernetes 集群中,以创建这三个 MySQL Pod

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值