在 Pod 中的容器之间共享进程命名空间

该功能是“稳定的”，意味着：

• 版本名是 vX，其中 X 是整数。
• 该功能将出现在多个后续释出的软件稳定版中。

此页面展示如何为 pod 配置进程命名空间共享。 当启用进程命名空间共享时，容器中的进程对该 pod 中的所有其他容器都是可见的。

您可以使用此功能来配置协作容器，比如日志处理 sidecar 容器，或者对那些不包含诸如 shell 等调试实用工具的镜像进行故障排查。

你必须拥有一个 Kubernetes 的集群，同时你的 Kubernetes 集群必须带有 kubectl 命令行工具。 如果你还没有集群，你可以通过 Minikube 构建一 个你自己的集群，或者你可以使用下面任意一个 Kubernetes 工具构建：

• Play with Kubernetes

进程命名空间共享使用 v1.PodSpec 中的 ShareProcessNamespace 字段启用。例如：

1. 在集群中创建 nginx pod：

   kubectl apply -f https://k8s.io/examples/pods/share-process-namespace.yaml

甚至可以使用 /proc/$pid/root 链接访问另一个容器镜像。

/ # head /proc/8/root/etc/nginx/nginx.conf
worker_processes  1;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;

Pod 共享许多资源，因此它们共享进程命名空间是很有意义的。 不过，有些容器镜像可能希望与其他容器隔离，因此了解这些差异很重要:

1. 容器进程不再具有 PID 1。 在没有 PID 1 的情况下，一些容器镜像拒绝启动（例如，使用 systemd 的容器)，或者拒绝执行 kill -HUP 1 之类的命令来通知容器进程。在具有共享进程命名空间的 pod 中，kill -HUP 1 将通知 pod 沙箱（在上面的例子中是 /pause）。