Kubernetes Debug 专用镜像实践指南
适用人群:SRE / DevOps / 运维工程师
适用场景:Kubernetes 生产环境排障、网络/进程/资源问题快速定位
一、为什么需要 Debug 专用镜像
在实际生产环境中,我们常见的业务镜像往往具备以下特点:
- 基于
alpine/debian-slim/distroless - 体积极小,攻击面低
- 不包含任何运维排障工具
常见问题包括:
ps: command not foundss / netstat / top / free不存在- 无法抓包、无法定位端口、无法确认真实启动参数
结论
生产镜像应该极简,但排障能力不能没有。
因此,一个Debug 专用镜像是 Kubernetes 运维体系中的必备组件。
二、Debug 镜像设计原则
一个合格的 Debug 镜像应满足:
工具齐全:
- 进程:
pstop - 网络:
ssnetstattcpdump - 系统:
freeuptimevmstat - 基础工具:
curlwgetbash
- 进程:
系统稳定:
- Debian / Ubuntu LTS
镜像可控:
- 内部镜像仓库
- 固定 tag,不随意变更
仅用于排障,不承载业务
三、推荐基础镜像选择
推荐使用:
debian:11ubuntu:22.04
本文以Debian 11为例。
四、Debug 镜像 Dockerfile 示例
FROM debian:11 LABEL maintainer="sre@company.com" LABEL description="Kubernetes Debug Image" # 替换为大陆镜像源(阿里云) RUN sed -i 's@deb.debian.org@mirrors.aliyun.com@g' /etc/apt/sources.list \ && sed -i 's@security.debian.org@mirrors.aliyun.com/debian-security@g' /etc/apt/sources.list # 安装常用运维调试工具 RUN apt-get update && apt-get install -y \ procps \ iproute2 \ net-tools \ tcpdump \ curl \ wget \ vim \ less \ lsof \ strace \ bash \ && rm -rf /var/lib/apt/lists/* CMD ["bash"]五、镜像包含工具说明
| 分类 | 工具 | 用途 |
|---|---|---|
| 进程 | ps / top | 查看进程、CPU、内存 |
| 网络 | ss / netstat | 查看端口、连接状态 |
| 抓包 | tcpdump | 网络问题定位 |
| 系统 | free / uptime | 资源使用情况 |
| 文件 | lsof | 端口与进程映射 |
| 调试 | strace | 系统调用分析 |
六、构建并推送镜像
docker build -t registry.example.com/ops/k8s-debug:debian11.docker push registry.example.com/ops/k8s-debug:debian11建议:
- 放入公司私有镜像仓库
- tag 固定(如
debian11/v1.0)
七、在 Kubernetes 中使用 Debug 镜像(推荐)
方式一:kubectl debug(最佳实践)
kubectl debug pod/mx-devops-frontend\-it\--image=registry.example.com/ops/k8s-debug:debian11\--target=frontend特点:
- 不影响原 Pod
- 共享网络 / PID / 文件系统(取决于配置)
- 排障完成即可退出
方式二:临时 Debug Pod
apiVersion:v1kind:Podmetadata:name:debug-toolsspec:containers:-name:debugimage:registry.example.com/ops/k8s-debug:debian11command:["sleep","36000"]适合:
- 长时间排查
- 网络连通性测试
八、常用排障命令速查
查看完整进程启动参数
psauxww查看监听端口
ss -lntp查看端口被哪个进程占用
lsof-i :3000抓包(示例)
tcpdump -i any port80九、生产环境最佳实践建议
- 业务镜像与 Debug 镜像严格分离
- 禁止在业务镜像中安装 tcpdump
- Debug 镜像仅授予运维权限
- 结合 RBAC 控制 kubectl debug 权限
成熟团队一定有 Debug 镜像,没有只是时间问题。
十、总结
ps不存在 ≠ 系统有问题- 而是镜像设计选择问题
- Debug 镜像是 Kubernetes 运维的“急救箱”
平时不用,但出事时必须能拿出来。
吐槽一下:
说好AI能更好效率工作,释放运维的工作,但是有些公司已经把非运维主要工作硬硬塞进来,已经成为了一个四不像了。
)
