遇到容器沒有bash甚至沒有sh的情況，就像被困在沒有門窗的房間。但真正的K8S運維高手，即使面對這種情況也能游刃有余。

一、無Shell容器三大特征

1. 極簡主義：移除所有非必要組件（如/bin/sh）
2. 安全加固：減少攻擊面，遵循最小權限原則
3. 只讀文件系統：防止運行時篡改

以下是我們在生產環境錘煉出的7大實戰技巧：

二、基礎三板斧（新手必學）

1. 日志捕獲術——穿透重啟迷霧

# 查看實時日志（即使容器不斷重啟）
kubectl logs -f <pod-name> --since=5m --tail=100 # 查看已崩潰容器的遺言（關鍵！）
kubectl logs --previous <pod-name>  # 救命命令！# 多容器日志聚合（Sidecar模式）
kubectl logs <pod-name> --all-containers

適用場景：容器啟動后立即崩潰
避坑指南：必須開啟容器日志持久化，否則重啟后日志丟失

2. 全息透視——describe命令

kubectl describe pod <pod-name> | grep -A 20 Events  # 重點看事件流

典型事件解密：

Warning  Unhealthy  3s  kubelet  Readiness probe failed: 
HTTP probe failed with statuscode: 503

👉 診斷方向：就緒探針失敗，檢查應用健康接口

關鍵線索：

• ImagePullBackoff：鏡像拉取失敗
• CrashLoopBackOff：程序持續崩潰
• FailedScheduling：節點資源不足

3. 無侵入探測——臨時執行命令

# 即使沒有shell也能執行單次命令
kubectl exec <pod-name> -- ls /app  # 查看目錄結構
kubectl exec <pod-name> -- env       # 查看環境變量

4. 文件系統偵察

# 從容器內復制文件
kubectl cp <pod-name>:/app/config.yaml ./config-copy.yaml# 向容器注入診斷工具
kubectl cp /usr/local/bin/strace <pod-name>:/tmp/
kubectl exec <pod-name> -- /tmp/strace -p 1

三、高階四式（專家必備）

5. 時空穿越術——臨時調試容器

# 注入臨時容器（需要K8S 1.23+）
kubectl debug -it <pod-name> --image=busybox:1.35 --target=<原容器名>

操作示例：

# 檢查容器進程
ps aux# 查看網絡連接
netstat -tulpn# 測試DNS解析
nslookup service.namespace.svc.cluster.local

原理：在目標Pod中插入一個共享進程命名空間的臨時容器
優勢：

• 原容器無需任何修改
• 可使用完整工具鏈（nc/tcpdump等）

限制：需要啟用EphemeralContainers特性門控

6.?Sidecar診斷艙

# 臨時添加調試容器
apiVersion: v1
kind: Pod
metadata:name: debug-pod
spec:containers:- name: appimage: distroless-app:v1- name: debugger  # 診斷專用容器image: nicolaka/netshootcommand: ["sleep", "3600"]

7. 網絡偵探模式——nsenter直連容器網絡

# 在宿主機上執行（需節點訪問權限）
PID=$(docker inspect -f '{{.State.Pid}}' <容器ID>)
nsenter -n -t $PID ip addr  # 查看容器IP
nsenter -n -t $PID tcpdump -i eth0  # 抓包分析

適用場景：網絡不通、端口占用等疑難雜癥
安全警告：需嚴格控制節點SSH訪問權限

8.?節點級深度檢查

# 定位容器運行時目錄
crictl inspect <container-id> | jq .info.runtimeSpec.linux.mounts# 直接查看容器文件系統
# 節點操作（需root）
cd /var/lib/containerd/.../rootfs
ls -l app/

9. 鏡像改造術——構建調試專用鏡像

FROM 原鏡像
RUN microdnf install -y busybox ncurses  # 針對Alpine鏡像
# 或
RUN apt-get update && apt-get install -y curl telnet  # 針對Debian系

部署技巧：

• 使用獨立標簽如?-debug
• 通過環境變量控制調試工具安裝

生產建議：在CI/CD流水線中準備調試鏡像版本

10. 上帝視角——集群級監控

• Prometheus+Alertmanager：監控容器OOMKilled事件
• eBPF工具：使用BCC工具集排查系統調用

# 查看容器內進程文件訪問
execsnoop -n <容器進程名>

四、特殊場景破解秘籍

場景1：容器只有靜態二進制文件（如Go程序）

# 使用共享卷掛載busybox
kubectl debug -it <pod-name> --image=busybox --share-processes --copy-to=<新pod名>

場景2：容器用戶權限受限

# 以root身份進入
kubectl exec -it <pod-name> -- chroot /host /bin/bash  # 適用于OpenShift

場景3：Istio服務網格環境

# 使用istio-proxy容器調試
kubectl exec -it <pod-name> -c istio-proxy -- sh

五、經典排障場景演練

場景1：Golang應用OOM崩潰

癥狀：容器反復重啟，無可用日志

排查思路：

# 檢查退出碼
kubectl get pod -o jsonpath='{.status.containerStatuses[0].lastState.terminated.exitCode}'# 查看內核日志
journalctl -k | grep -i oom

場景2：Python應用依賴缺失

突破步驟：

kubectl exec <pod> -- /tmp/ldd /app/main

1. 使用kubectl cp導入ldd
2. 檢查動態鏈接庫

場景3：JVM堆內存配置錯誤

內存取證：

# 導出內存映射
kubectl exec <pod> -- cat /proc/1/maps > heap.txt# 分析Native內存
kubectl debug --image=photon:3.0 -- perf mem report

六、生產環境安全紅線

嚴禁直接修改生產容器
所有調試操作必須通過臨時容器或副本進行

調試鏡像管理規范

• 使用獨立鏡像倉庫存儲調試鏡像
• 定期掃描鏡像漏洞

權限最小化原則

# RBAC配置示例
kind: ClusterRole
rules:
- apiGroups: [""]resources: ["pods/exec"]verbs: ["create"]  # 僅開放exec權限

七. 防御性編程：構建可觀測容器

1. 必備診斷接口

# 容器規范示例
livenessProbe:exec:command: ["/bin/health", "status"]
readinessProbe:httpGet:path: /healthzport: 8080

2. 標準化日志輸出

# Python日志模板
import logging
logging.basicConfig(format='%(asctime)s | %(levelname)s | %(module)s | %(message)s',level=logging.INFO
)

3. 構建時注入元數據

# Dockerfile最佳實踐
ARG BUILD_TIME
ENV BUILD_TIMESTAMP=$BUILD_TIME
LABEL org.opencontainers.image.revision=$GIT_COMMIT

八、調試工具全家福

工具	適用場景	安裝方式
busybox	基礎命令缺失	kubectl debug注入
netshoot	網絡故障排查	nicolaka/netshoot鏡像
nsenter	命名空間滲透	節點預裝
strace	系統調用跟蹤	kubectl cp動態注入
tcpdump	網絡抓包分析	Sidecar容器運行
checkers	容器健康檢查	預埋HTTP端點
kubectl-debug	全功能調試	插件安裝
crictl	節點級容器操作	所有K8S節點預裝

九、寫在最后：調試哲學

• 80%的問題通過日志和describe即可定位
• 優先使用kubectl debug避免污染生產環境
• 關鍵業務建議預留診斷接口
• 定期演練無Shell排障流程
• 執行最小侵入原則，根據需求精細化操作
• 提前部署監控比事后調試更重要

記住：真正的王者，不是能進入所有容器，而是不用進入容器就能解決問題！