2.3.13. 安全性


2.3.13.1. 控制在容器间共享 PID 命名空间(技术预览)

此功能当前还是一个 技术预览功能,不适用于生产环境中的工作负载。

您可以使用此功能在 pod 中配置嵌套容器(如日志处理 sidecar 容器),或者对不包括像 shell 这样的调试工具的容器镜像进行故障排除,例如:

  • 功能门 PodShareProcessNamespace 默认设置为 false
  • 在 API 服务器、控制器和 kubelet 中设置 feature-gates=PodShareProcessNamespace=true
  • 重启 API 服务器、控制器和节点服务。
  • 创建带有 shareProcessNamespace: true 规格的 pod。
  • 运行 oc create -f <pod spec file>

注意事项

当 PID 命名空间在容器间共享时:

  • Sidecar 容器不是隔离的。
  • 环境变量可在所有其他进程中可见。
  • 在进程中使用的 kill all 都会有问题。
  • 来自其他容器的任何 exec 进程会显示。

如需更多信息,请参阅 扩展持久性卷

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.