Pod 运行时调试

2022-11-12
北京
本文字数：1396 字
阅读完需：约 5 分钟

为了减少容器的 size，通常不会在容器中集成很多的调试工具。如果需要进入容器环境调试，可以通过主机上的 nsenter 进入容器的 namespace 进行调试。

首先找到容器中运行进程的 pid。
进入 pid 所对应的 namespace。

进入容器的命名空间

# 进入 12688 进程的网络命名空间[root@test1-cluster-34867 ~]# nsenter -t 12688 --net
# 在网络命名空间查看的 ip 情况 【只有 2个网卡】[root@test1-cluster-34867 ~]# ifconfigeth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500        inet 172.19.3.70  netmask 255.255.0.0  broadcast 0.0.0.0        ether fa:16:3e:3b:0c:4d  txqueuelen 0  (Ethernet)        RX packets 65333  bytes 73376361 (69.9 MiB)        RX errors 0  dropped 0  overruns 0  frame 0        TX packets 60041  bytes 11472220 (10.9 MiB)        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536        inet 127.0.0.1  netmask 255.0.0.0        loop  txqueuelen 1000  (Local Loopback)        RX packets 4  bytes 200 (200.0 B)        RX errors 0  dropped 0  overruns 0  frame 0        TX packets 4  bytes 200 (200.0 B)        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
# 退出命名空间后，再查看网络，发现是宿主机的网络信息了，比较多就没展示        [root@test1-cluster-34867 ~]# exitlogout
# 进入进程的多个命名空间nsenter -t 12688  --uts --ipc --net --pid

复制代码

需要注意的是，并不是所有资源都有被 namespace 隔离，例如：SELinux、time、syslog。此外，namespace 的隔离也是不全面的，比如/proc、/sys、/dev/sd*没有完全隔离。

在容器里面执行 top

在容器里面执行 free -h

上面的命令可以看出，容器里面展示的 cpu、memory 利用率都是宿主机的，因为 top、free 主要读取/proc、/sys 中的数据。

Docker 的设计者也意识到这样确实存在很大不便，于是从 Docker1.8 版本以后将分配给容器的 cgroup 资源挂载到容器内，可以直接在容器内部查看到 cgroup 资源隔离情况。

# 查看容器核数，除100000cat /sys/fs/cgroup/cpu/cpu.cfs_quota_us
# 获取内存使用cat /sys/fs/cgroup/memory/memory.usage_in_bytescat /sys/fs/cgroup/memory/memory.limit_in_bytes
# 注意这里已经使用的内存usage_in_bytes是包含cache的，详细的情况可以从/sys/fs/cgroup/memory/memory.stat中获取# 查看容器是否设置oom，oom_kill_disable默认为0表示开启cat /sys/fs/cgroup/memory/memory.oom_control
# 获取磁盘iocat /sys/fs/cgroup/blkio/blkio.throttle.io_service_bytes
# 获取网卡出入流量cat /sys/class/net/eth0/statistics/rx_bytescat /sys/class/net/eth0/statistics/tx_bytes