容器执行宿主机命令

容器中执行docker命令

  1. 把docker相关的命令和依赖使用-v挂载到容器中
docker run -it -d  \
--restart=always -u root \
-v /usr/bin/docker:/usr/bin/docker \
-v /var/run/docker.sock:/var/run/docker.sock \
-v /usr/lib64/libltdl.so.7:/usr/lib/x86_64-linux-gnu/libltdl.so.7 镜像名称

参数说明:

--restart=always #Docker重启后该容器也为随之重启

-u root
#以root的身份去运行镜像(避免在容器中调用Docker命令没有权限)
#最好使用docker用户去运行

--privileged
#或者使用这个参数,表示该容器真正使用root权限

-v /usr/bin/docker:/usr/bin/docker
#将宿主机的docker命令挂载到容器中
#可以使用which docker命令查看具体位置
#或者把挂载的参数改为: -v $(which docker):/usr/bin/docker

-v /var/run/docker.sock:/var/run/docker.sock
#容器中的进程可以通过它与Docker守护进程进行通信

-v /usr/lib64/libltdl.so.7:/usr/lib/x86_64-linux-gnu/libltdl.so.7
#libltdl.so.7是Docker命令执行所依赖的函数库
#容器中library的默认目录是 /usr/lib/x86_64-linux-gnu/
#把宿主机的libltdl.so.7 函数库挂载到该目录即可
#可以通过whereis libltdl.so.7命令查看具体位置
#centos7位置/usr/lib64/libltdl.so.7
#ubuntu位置/usr/lib/x86_64-linux-gnu/libltdl.so.7
  1. 为当前用户赋予执行docker命令的权限

如果之前为docker创建过用户,则需要执行以下命令,没有的话直接跳过

#则需要把将当前用户加入docker组
sudo gpasswd -a ${USER} docker

#或者将当前用户直接加到文件中
sudo echo "`docker:x:994:${USER}``" >> /etc/group

#查看docker用户组成员
cat /etc/group |grep docker

#重新启动docker服务
sudo systemctl restart docker

#当前用户退出系统重新登陆

Pod中执行kubernetes命令

使用kubectl

  1. 在Dockerfile中添加如下命令:
RUN curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl
RUN chmod +x ./kubectl
RUN sudo mv ./kubectl /usr/local/bin/kubectl

使用上述Dockerfile创建的容器中执行命令报错如下:

The connection to the server : was refused - did you specify the right host or port?

使用restful API

在api-server上运行如下命令,

curl http://localhost:8080/api/v1/namespaces/default/pods   #localhost修改为IP或DNS

根据配置,需要使用安全相关的证书

使用如下命令找到api的endpoint:

kubectl get pods --v=8

需要配置基于角色的权限访问控制,为pod创建一个service account并运行它。这个service account应该具有所需namespace中pod列表的权限。需要创建一个角色,并且绑定到刚才创建的service account上。

集群中的每一个容器都需要有一个可以向API server发起认证的token。在容器中执行如下命令:

cat /var/run/secrets/kubernetes.io/serviceaccount/token

要向apiserver发出请求,在容器中运行如下命令:

curl -ik \
     -H "Authorization: Bearer $(cat /var/run/secrets/kubernetes.io/serviceaccount/token)" \
     https://kubernetes.default.svc.cluster.local/api/v1/namespaces/default/pods

https相关安全问题,执行如下命令:

curl https://ip:8443/api/v1/namespaces/default/pods --cacert ca.pem --insecure --key client-key.pem --cert client.pem
/usr/local/bin/kubectl: cannot execute binary file

kubectl执行命令需要能够访问apiserver,也就是说:

  1. apiserver的主机名和端口保存在环境变量中KUBERNETES_SERVICE_HOSTKUBERNETES_SERVICE_PORT
  2. access token被挂载在var/run/secrets/kubernetes.io/serviceaccount/token
  3. 服务证书被挂载在/var/run/secrets/kubernetes.io/serviceaccount/ca.crt

这是kubectl连接到apiserver时需要知道的所有数据。

以上配置不能运行的一些思考:

  1. 容器没有运行在kubernetes集群中,即容器需要以pod的形式运行
  2. 访问被认证插件限制了(不是默认的插件)
  3. service account 中证书的被pod 的定义覆盖了(spec.serviceAccountName)

kubectl 比 api 简单

  1. 在容器中下载并编译kubectl
  2. 编译应用,拷贝kubectl到容器中
  3. 可以了

一种认证更严格 更方便的 pod访问api 的方式:

  1. 为pod创建service account,然后配置pod使用这个service account
  2. 配置一个rolebinding或者clusterrolebinding来运行服务有权限和kubernetes api通信
  3. 直接访问api 或者使用客户端来管理api的访问,推荐使用客户端的方式,它具有pod的自动配置,删除正常请求所需的身份验证令牌步骤。

部署完成需要有以下对象:serviceaccount clusterrolebinding deployment

上次修改: 14 April 2020