无法将外壳放入 kubernetes 中的 citadel 容器中

【问题标题】:Unable to get a shell into citadel container in kubernetes无法将外壳放入 kubernetes 中的 citadel 容器中
【发布时间】:2019-04-09 05:17:13
【问题描述】:

我使用https://istio.io/docs/setup/kubernetes/helm-install 处的说明在 minikube 中运行 Istio(包括 Citadel)。

$ helm template install/kubernetes/helm/istio --name istio --namespace istio-system > $HOME/istio.yaml
$ kubectl create namespace istio-system
$ kubectl apply -f $HOME/istio.yaml

当我尝试将外壳放入 citadel 容器时,出现错误:

$ kubectl exec -it istio-citadel-6d7f9c545b-bkvnx  -- /bin/bash
OCI runtime exec failed: exec failed: container_linux.go:348: starting container process caused "exec: \"/bin/bash\": stat /bin/bash: no such file or directory": unknown
command terminated with exit code 126

但是,我可以执行到其他容器中,例如 Pilot 很好。

如果有帮助,这些是我的 pod 和容器。

shell-demo:                             nginx,
istio-citadel-6d7f9c545b-bkvnx:         docker.io/istio/citadel:1.0.3,
istio-cleanup-secrets-rp4wv:            quay.io/coreos/hyperkube:v1.7.6_coreos.0,
istio-egressgateway-866885bb49-6jz9q:   docker.io/istio/proxyv2:1.0.3,
istio-galley-6d74549bb9-7nhcl:          docker.io/istio/galley:1.0.3,
istio-ingressgateway-6c6ffb7dc8-bvp6b:  docker.io/istio/proxyv2:1.0.3,
istio-pilot-685fc95d96-fphc9:           docker.io/istio/pilot:1.0.3, docker.io/istio/proxyv2:1.0.3,
istio-policy-688f99c9c4-bpl9w:          docker.io/istio/mixer:1.0.3, docker.io/istio/proxyv2:1.0.3,
istio-security-post-install-s6dft:      quay.io/coreos/hyperkube:v1.7.6_coreos.0,
istio-sidecar-injector-74855c54b9-6v5xg:docker.io/istio/sidecar_injector:1.0.3,
istio-telemetry-69b794ff59-f7dv4:       docker.io/istio/mixer:1.0.3, docker.io/istio/proxyv2:1.0.3,
prometheus-f556886b8-lhdt8:             docker.io/prom/prometheus:v2.3.1,
coredns-c4cffd6dc-6xblf:                k8s.gcr.io/coredns:1.2.2,
etcd-minikube:                          k8s.gcr.io/etcd-amd64:3.1.12,
kube-addon-manager-minikube:            k8s.gcr.io/kube-addon-manager:v8.6,
kube-apiserver-minikube:                k8s.gcr.io/kube-apiserver-amd64:v1.10.0,
kube-controller-manager-minikube:       k8s.gcr.io/kube-controller-manager-amd64:v1.10.0,
kube-dns-86f4d74b45-bjk54:              k8s.gcr.io/k8s-dns-kube-dns-amd64:1.14.8, k8s.gcr.io/k8s-dns-dnsmasq-nanny-amd64:1.14.8, k8s.gcr.io/k8s-dns-sidecar-amd64:1.14.8,
kube-proxy-mqfb9:                       k8s.gcr.io/kube-proxy-amd64:v1.10.0,
kube-scheduler-minikube:                k8s.gcr.io/kube-scheduler-amd64:v1.10.0,
kubernetes-dashboard-6f4cfc5d87-zwk2c:  k8s.gcr.io/kubernetes-dashboard-amd64:v1.10.0,
storage-provisioner:                    gcr.io/k8s-minikube/storage-provisioner:v1.8.1,

当我执行 minikube ssh 然后尝试执行到 citadel 容器时,我收到类似的错误:

$ docker ps | grep citadel
f173453f843c        istio/citadel                              "/usr/local/bin/isti…"   3 hours ago         Up 3 hours                              k8s_citadel_istio-citadel-6d7f9c545b-bkvnx_istio-system_3d7b4f08-e120-11e8-bc40-ee7dbbb8f91b_0
7e96617d81ff        k8s.gcr.io/pause-amd64:3.1                 "/pause"                 3 hours ago         Up 3 hours                              k8s_POD_istio-citadel-6d7f9c545b-bkvnx_istio-system_3d7b4f08-e120-11e8-bc40-ee7dbbb8f91b_0

$ docker exec -it f173453f843c sh
OCI runtime exec failed: exec failed: container_linux.go:348: starting container process caused "exec: \"sh\": executable file not found in $PATH": unknown

$ docker exec -it f173453f843c /bin/sh
OCI runtime exec failed: exec failed: container_linux.go:348: starting container process caused "exec: \"/bin/sh\": stat /bin/sh: no such file or directory": unknown

$ docker exec -it f173453f843c ls
OCI runtime exec failed: exec failed: container_linux.go:348: starting container process caused "exec: \"ls\": executable file not found in $PATH": unknown

我可以看到城堡集装箱的日志很好。日志可在https://pastebin.com/xTy9vSz2获取。

你知道为什么我们不能执行到 citadel 容器吗?

感谢阅读。

【问题讨论】:

    标签: docker kubernetes minikube istio


    【解决方案1】:

    您无法使用 shell,因为容器中既没有 sh 也没有 bash。很多时候,为了提高效率和拥有最小的容器映像,这些都被删除了。

    如果你想进入容器,我建议你构建自己的镜像,在其中包含 bashsh

    您可以在此处看到Dockerfile 构建的图像只有静态二进制文件。为此,您要更改基本映像。例如:

    FROM alpine

    代替:

    FROM scratch

    希望对你有帮助。

    【讨论】:

    • 很好的答案。当我运行 $ kubectl exec -it istio-citadel-6d7f9c545b-bkvnx -- /usr/local/bin/istio_ca 时,它实际上运行了。 (2018-11-05T21:32:15.587814Z 错误未指定签名证书。通过“-signing-cert”选项指定证书文件或使用“-self-signed-ca”。命令以退出代码 255 终止)
    【解决方案2】:

    你知道为什么我们不能执行到 citadel 容器吗?

    从下一个 Kubernetes 版本(1.16+,2019 年第三季度)开始,您可以。

    参见kubernetes/kubernetes PR 59416(PR="pull request"):“将临时容器添加到 Kubernetes 核心 API”(commit 7e6b70f)。
    使用PR 79614 获取文档。

    已解决 issue 27140: "支持对 distroless 容器进行故障排除"。

    pnnl-miscscripts/miscscripts/bin 是一种解决方法)

    EphemeralContainer 是一个临时容器,可以添加到现有 pod 用户发起的活动,例如调试。临时容器没有资源或调度保证,它们在退出或 pod 移除或重新启动时不会重新启动。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2015-07-22
      • 2020-09-24
      • 2019-04-27
      • 2019-09-27
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode