2.3.13. セキュリティー
2.3.13.1. コンテナー間での PID Namespace 共有の制御 (テクノロジープレビュー)
この機能は現在 テクノロジープレビュー として提供されており、実稼働環境のワークロードには適していません。
この機能を使用して、ログハンドラーサイドカーコンテナーなどの Pod 内の関連コンテナーを設定したり、シェルのようなデバッグユーティリティーを含まないコンテナーイメージのトラブルシューティングを行ったりできます。
-
機能ゲート
PodShareProcessNamespaceはデフォルトでfalseに設定されます。 -
API サーバー、コントローラーおよび kubelet に
feature-gates=PodShareProcessNamespace=trueを設定します。 - API サーバー、コントローラー、およびノードサービスを再起動します。
-
Pod を
shareProcessNamespace: trueを指定して作成します。 -
oc create -f <pod spec file>を実行します。
注意事項
PID namespace をコンテナー間で共有する際に、以下の点に注意してください。
- サイドカーコンテナーは分離できない。
- 環境変数はその他すべてのプロセスに表示されます。
-
プロセス内で使用されすべての
kill allセマンティクスが壊れている。 -
他のコンテナーからのすべての
execプロセスが表示されます。
詳細は、Expanding Persistent Volumes を参照してください。
