k8s中如何用DaemonSet在大量节点上执行脚本

1 year ago

source link: https://blog.shell909090.org/blog/archives/2888/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

如何使用DaemonSet执行特权代码

简单点说，最低有三个条件。

spec.hostPID is true.
spec.containers.securityContext.privileged is true.
镜像里有nsenter.

条件1主要是为了让你能找到host的mnt namespace，然后你用条件3里的nsenter来在这个namespace里执行代码。就像这样。

/usr/bin/nsenter -m/proc/1/ns/mnt bash /runOnHost.sh

host上如何执行脚本

nsenter在host namespace下执行的时候，是不访问容器内文件系统的（或者很麻烦）。所以在host上执行脚本，最简单的办法就是拷过去。

cp /srv/runOnHost.sh /host/runOnHost.sh
/usr/bin/nsenter -m/proc/1/ns/mnt bash /runOnHost.sh
rm /host/runOnHost.sh

这就引出了一个新要求。如果要复制文件，pod需要挂载host文件系统。

      containers:
        volumeMounts:
        - mountPath: /host
          name: host-mount
      volumes:
      - hostPath:
          path: /
          type: ""
        name: host-mount

如何访问网络

注意，虽然我们进入了host的mnt namespace，但是network用的还是容器的。如果你的代码不需要网络，或者容器网络就能工作，那很好。如果需要host网络，那么需要设置spec.hostNetwork为true。

最简化镜像

很幸运的是，ubuntu官方镜像带了bash和nsenter，因此不单独pack一个image来执行脚本是可能的。

使用ubuntu镜像。
用文件目录创建一个ConfigMap。

在DaemonSet里引用这个ConfigMap并且mount。

  containers:
    volumeMounts:
    - mountPath: /srv
      name: scripts
  volumes:
  - configMap:
      defaultMode: 0755
      name: rce-testing
    name: scripts

Put all together

runOnHost.sh: 随意

runOnPod.sh:

#!/bin/bash

cp /srv/runOnHost.sh /host/runOnHost.sh
/usr/bin/nsenter -m/proc/1/ns/mnt bash /runOnHost.sh
rm /host/runOnHost.sh
sleep 864000000

用以下命令生成一个ConfigMap，内容是上述两个文件。

kubectl create configmap rce-testing --from-file=srv/

rce-testing.yaml:

apiVersion: apps/v1
kind: DaemonSet
metadata:
  labels:
    app: rce-testing
  name: rce-testing
spec:
  selector:
    matchLabels:
      app: rce-testing
  template:
    metadata:
      labels:
        app: rce-testing
    spec:
      hostPID: true
      hostNetwork: true
      containers:
      - name: ubuntu
        image: ubuntu
        imagePullPolicy: IfNotPresent
        command:
        - /bin/bash
        args:
        - /srv/runOnPod.sh
        securityContext:
          privileged: true
        volumeMounts:
        - mountPath: /srv
          name: scripts
        - mountPath: /host
          name: host-mount
      volumes:
      - configMap:
          defaultMode: 0755
          name: rce-testing
        name: scripts
      - hostPath:
          path: /
          type: ""
        name: host-mount

其他注意事项

PodSecurityPolicy可能会阻止你开特权pod，注意解锁。

Recommend

blog.51cto.com 6 years ago
Cache

DaemonSet 典型应用场景 - 每天5分钟玩转 Docker 容器技术（129）-CloudMan-51CTO博客

本节介绍 DaemonSet 的几个典型应用场景。

devopstarter.info 5 years ago
Cache

[ 翻译 ] Sidecar和DaemonSet: 容器模式之争

在我们最近的文章中，我们介绍了使用Linkerd作为服务网格代理，并发起了一系列的文章，记录了

draveness.me 5 years ago
Cache

详解 Kubernetes DaemonSet 的实现原理

blog.51cto.com 4 years ago
Cache

深度分析：Java中如何如理异常，一篇帮你搞定！-前程有光的博客

异常的背景初识异常我们曾经的代码中已经接触了一些“异常”了.例如:除以0System.out.println(10/0);//执行结果Exceptioninthread"main"java.lang.ArithmeticException:/byzero数组下标越界int[]arr={1,2,3};System.out.println(arr[100]);//执行结果Exceptioninthre...