2.3.13. 安全性
2.3.13.1. 控制在容器间共享 PID 命名空间(技术预览)
此功能当前还是一个 技术预览功能,不适用于生产环境中的工作负载。
您可以使用此功能在 pod 中配置嵌套容器(如日志处理 sidecar 容器),或者对不包括像 shell 这样的调试工具的容器镜像进行故障排除,例如:
-
功能门
PodShareProcessNamespace默认设置为false。 -
在 API 服务器、控制器和 kubelet 中设置
feature-gates=PodShareProcessNamespace=true。 - 重启 API 服务器、控制器和节点服务。
-
创建带有
shareProcessNamespace: true规格的 pod。 -
运行
oc create -f <pod spec file>。
注意事项
当 PID 命名空间在容器间共享时:
- Sidecar 容器不是隔离的。
- 环境变量可在所有其他进程中可见。
-
在进程中使用的
kill all都会有问题。 -
来自其他容器的任何
exec进程会显示。
如需更多信息,请参阅 扩展持久性卷。
