如何通过Pod进入到宿主机?
如何通过Pod进入到宿主机?
nsenter -a -t 1 bash 命令的作用是让你在一个新的 shell 会话中,进入 PID 为 1 的进程所在的全部命名空间(Namespace)。
通过这种方式,可以从pod中进入到宿主机(全部的namespace都跟宿主机一样)
breakdown 如下:
nsenter: 这是一个 Linux 命令行工具,用于将当前进程“进入”到指定进程的一个或多个命名空间中。-t 1: 这个选项指定了目标进程的 PID (Process ID)。在这里,1是 Linux 系统中第一个启动的进程(通常是init或systemd)的 PID。所有其他进程都是由它或它的子进程派生出来的。-a: 这个选项是 “all namespaces” 的缩写。它告诉nsenter将当前进程加入到目标进程(PID 1)所属于的所有类型的命名空间中,包括但不限于:- Mount (
mnt) - UTS (主机名和域名)
- IPC (进程间通信)
- Network
- PID (进程 ID)
- User ID
- Cgroup
- Mount (
bash: 这是要在新加入的命名空间环境中执行的程序。在这里,它启动了一个新的 Bash shell。
总结来说,执行这个命令的效果是:
启动一个新的 Bash shell,这个 shell 拥有和系统根进程(PID 1)完全相同的系统视图和资源访问权限。这通常意味着你获得了对整个宿主机系统环境的直接访问权,包括文件系统、网络、进程列表等,就好像你退出了所有可能的容器隔离环境,直接进入了宿主机内核的上下文一样。
常见用途:
- 调试容器环境: 当你在一个容器内部,但需要查看或操作宿主机的资源(例如检查宿主机的网络接口、挂载点、进程等)时,可以通过进入 PID 1 的命名空间来实现。
- 从容器访问宿主机: 在某些需要突破容器隔离限制的场景下(例如进行宿主机级别的监控或管理),可能会用到这个命令。
- 深入理解 Linux Namespace: 用于学习和演示 Linux 命名空间的工作原理。
请注意: 执行此命令通常需要 CAP_SYS_ADMIN 或 CAP_SYS_PTRACE 等高级权限。在容器环境中,这通常意味着你需要以特权模式运行容器或者容器本身没有完全隔离这些命名空间。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Roger-Lv's space!
相关推荐
2025-09-15
k8s informer通俗易懂详解
Kubernetes Informer 机制详解 核心概念 Informer 是 Kubernetes 中用于监听和缓存资源对象的核心机制,它通过 ListAndWatch 机制实现高效的资源监控。 核心组件及作用 1. Reflector(反射器) 作用:负责从 Kubernetes API Server 获取资源对象 功能: List:获取资源的全量数据 Watch:监听资源的增量变化 将数据放入 Delta FIFO 队列 2. Delta FIFO Queue(增量队列) 作用:存储资源对象的变化(增删改) 特点: 保持操作顺序 存储对象的增量变化(Delta) 线程安全 3. Informer(通知器) 作用:从 Delta FIFO 队列中取出对象并处理 功能: 调用 Indexer 更新本地缓存 触发注册的事件处理器 4. Indexer(索引器) 作用:本地缓存,提供快速查询 功能: 存储资源对象的本地副本 提供基于索引的快速查找 线程安全的读写操作 5. Resource Event Handlers(资源事件处理器) ...
2025-09-16
sandbox和container对比
sandbox和container对比 Sandbox 和 Container 的区别 基本概念 Sandbox(沙箱) 定义:一种隔离环境,用于安全地运行程序,限制其对系统资源的访问 目的:提供安全隔离,防止恶意代码影响主机系统 范围:通常针对单个应用程序或进程 Container(容器) 定义:一种轻量级虚拟化技术,将应用程序及其依赖打包在一起 目的:提供一致的运行环境,确保应用在不同环境中行为一致 范围:包含完整的应用程序运行时环境 主要区别对比 特性 Sandbox Container 主要目标 安全隔离 环境一致性 隔离级别 高(安全优先) 中等(资源隔离) 资源开销 极低 低到中等 启动速度 极快 快 包含内容 单个应用/进程 完整运行时环境 技术实现差异 Sandbox 实现方式 1234567// 浏览器沙箱示例(概念性)// 运行在受限环境中const sandboxedCode = ` // 无法访问DOM、网络、文件系统 // 只能执行安全的JavaScript代码 return 42;`; 典型技术: 浏...
2025-09-16
容器运行时扩展方案技术解析
容器运行时扩展方案技术解析 基于对某容器运行时扩展项目的代码分析,现从架构层面提炼其核心技术实现,聚焦三大核心能力:运行时接入机制、容器根文件系统云端持久化、Docker-in-Docker 安全实现方案。 1. 如何接入 Containerd 运行时生态 项目通过 Containerd Proxy Plugin 机制 实现与容器运行时的无缝集成,架构清晰、扩展性强。 ▶ 配置层接入 在 containerd 配置中注册名为 custom-snapshotter 的代理插件,通过 Unix Domain Socket 与本地 Agent 通信; 同时注册自定义 Runtime,指向特定二进制执行程序,实现容器生命周期的定制化控制。 ▶ 运行时层实现 Agent 侧:实现标准 gRPC 服务,响应来自 Containerd 的 Snapshotter 接口调用(如 Prepare、Mount、Remove); 存储层封装:采用 Wrapper 模式封装原生 OverlayFS Snapshotter,在不破坏原有逻辑的前提下注入自定义行为(如镜像预处理、元数据记录等); 通...
2024-07-19
Linux系统中卸载anaconda
Linux系统中卸载anaconda 要在Linux系统中卸载Anaconda,你需要执行一系列的命令。这里是一个通用的步骤指南: 找到Anaconda安装脚本: 在安装Anaconda时,它会在你的主目录中创建一个名为anaconda3的文件夹(默认情况下,如果你在安装时选择了不同的名称或位置,请确保使用正确的路径)。 运行Anaconda卸载程序: Anaconda提供了一个卸载程序anaconda-clean,可以帮助你删除Anaconda的配置文件。在终端中运行以下命令: 12conda install anaconda-cleananaconda-clean --yes 这个命令将删除Anaconda的配置文件,并且可以选择创建一个备份。使用–yes选项可以避免在删除每个项目时都要求确认。 删除Anaconda安装目录: 接下来,你需要手动删除Anaconda的安装目录。如果你的安装目录是默认的~/anaconda3,你可以使用以下命令: 1rm -rf ~/anaconda3 如果你的安装目录不是默认的,请确保使用正确的路径。 编辑.bashrc或其他...
2025-09-01
Linux 云服务器根分区扩容流程(ext4 示例)
Linux 云服务器根分区扩容流程(ext4 示例) 1. 云厂商控制台扩容磁盘 登录云服务商(AWS、阿里云、腾讯云等) 找到对应实例的 系统盘 / 数据盘 修改磁盘大小,例如从 40G → 80G 这一步完成后,虚拟磁盘 /dev/vda 就会变大,但分区和文件系统不会自动变大 2. 确认磁盘和分区情况 12lsblkdf -h lsblk 会显示磁盘和分区大小 df -h 会显示文件系统挂载的空间大小 例子: 12vda 80G└─vda1 40G / 👉 说明磁盘是 80G,但分区还只有 40G 3. 安装扩容工具 (Ubuntu/Debian) 12sudo apt updatesudo apt install -y cloud-guest-utils (CentOS/RHEL) 1sudo yum install -y cloud-utils-growpart 4. 扩展分区 1sudo growpart /dev/vda 1 /dev/vda → 磁盘名 1 → 分区号(即 /dev/vda1) 执行后再看: 1lsblk 应该变成: ...
2024-09-28
NVIDIA device plugin for Kubernetes原理分析
NVIDIA device plugin for Kubernetes原理分析 什么是 Device Plugin K8s 原生并没有支持第三方设备厂商的物理设备资源,因此 Device Plugins 给第三方设备厂商提供了相关接口,可以让他们的物理设备资源以 Extended Resources 提供给底层的容器。 当 device plugin 功能启动后,可以令 kubelet 开放 Register 的 gRPC 服务,device plugin 就可以通过这个服务向 kubelet 进行注册,注册成功后 device plugin 就进入了 Serving 模式,提供前面提到的 gRPC 接口调用服务,kubelet 也就可以通过调用 Listandwatch、Allocate 等方法对设备进行操作,可以用下图来描述单一节点上这一过程: 下面以 NVIDIA k8s-device-plugin 为例简单讲讲这一过程。 注册服务 先看 gRPC 注册部分,下面的函数用于启动一个 gRPC 服务器并在 kubelet 中注册 1234567891011121314151...
评论