本文介绍了kubectldebug这款Kubernetes诊断工具,用于在生产环境中简化Pod故障排查。它利用EphemeralContainers特性,在无需更改容器镜像的情况下提供了一套完整的工具集,支持Pod和节点级别的调试,以及自定义debug镜像的构建。
点击这里,参考原文。
本文主要介绍一个 K8S 故障排错新手段:kubectl debug
1 kubectl debug 起源
开发者喜欢在生产部署中使用极致精简的容器镜像,这也是容器技术中的一个最佳实践。这种精简主义有很多好处,而且在大多数情况下运行良好,但是一旦需要在生产中排除一些故障时,这就变得很困难了,因为精简后的容器普遍缺失常用的排障工具,有些甚至连 bash/sh 解释器都没有。
kubectl debug 是一款 k8s pod 诊断工具,能够帮助进行 Pod 的排障诊断。在 k8s v1.16 ~ v1.22 中是 Alpha 状态,默认关闭。从 k8s v1.23 开始这项功能才逐渐成熟,并成为 Beta 状态,默认开启。
2 kubectl debug 工作原理
我们知道,容器本质上是带有 cgroup 资源限制和 namespace 隔离的一组进程。因此,我们只要启动一个进程,并且让这个进程加入到目标容器的各种 namespace 中,这个进程就能“进入容器内部”(注意引号),与容器中的进程 “看到” 相同的根文件系统、虚拟网卡、进程空间了 —— 这也正是 docker exec 和 kubectl exec 等命令的运行方式。
现在的状况是,我们不仅要“进入容器内部”,还希望带一套工具集进去帮忙排查问题。那么,想要高效管理一套工具集,又要可以跨平台,最好的办法就是把工具本身都打包在一个容器镜像当中。接下来,我们只需要通过这个“工具镜像” 启动容器,再指定这个容器加入目标容器的的各种 namespace,自然就实现了 “携带一套工具集进入容器内部”。
3 kubectl debug 怎么用
3.1 开启功能
在 V1.23 及以上版本中,该功能默认开启。针对 1.23 以下的 K8S 版本,需要通过以下方式,手动开启。
第一步:控制面开启 EphemeralContainers featureGate.
进入 master 节点,编辑 /etc/kubernetes/manifests/ 下的 kube-apiserver.yaml,kube-controller-manager.yaml 及 kube-scheduler.yaml,在 command 部分添加 - --feature-gates=EphemeralContainers&#
最低0.47元/天 解锁文章
扫一扫
218
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
