Docker特权模式和Kubernetes特权容器的区别

编辑：

我看到你在docker run命令中使用了--pid=host，并且在kubernetes pod规范中使用了hostPID: true。在这种情况下，如果容器在同一主机上运行，则两个数字应该相似。请检查容器是否在同一主机上运行。Kubernetes可能已将Pod调度到不同的节点。

---

上一个答案

sudo docker run -d --privileged --pid=host alpine:3.8 tail -f /dev/null

在上面的命令中，您使用了--pid=host参数，该参数在主机pid名称空间中运行容器。因此，您可以查看主机上的所有进程。您可以在Kubernetes中的pod规范中使用hostPID选项来实现相同的效果。

---

在特权模式下运行容器意味着容器中的进程与主机上的root用户基本相同。默认情况下，容器不允许访问主机上的任何设备，但“特权”容器被赋予访问主机上所有设备的权限。

$ kubectl exec -it no-privilege ls /dev
core             null             stderr           urandom
fd               ptmx             stdin            zero
full             pts              stdout
fuse             random           termination-log
mqueue           shm              tty

$ kubectl exec -it privileged ls /dev
autofs              snd                 tty46
bsg                 sr0                 tty47
btrfs-control       stderr              tty48
core                stdin               tty49
cpu                 stdout              tty5
cpu_dma_latency     termination-log     tty50
fd                  tty                 tty51
full                tty0                tty52
fuse                tty1                tty53
hpet                tty10               tty54
hwrng               tty11               tty55
...

容器仍在其自己的pid命名空间、ipc命名空间和网络命名空间中运行等。因此，即使在特权模式下运行，您也不会在容器内看到主机进程。如果您想在主机命名空间中运行，可以在Kubernetes的pod spec中使用hostPID、hostNetwork、hostIPC字段。