為了減少潛在的安全風險,ContainerOS原則上不支援任何使用者直接登入到系統進行一系列可能無法追溯的操作。若您仍然有登入執行個體進行營運操作的需求,ContainerOS提供了專用的營運容器以供問題排查、軟體包安裝等非日常的營運需求。本文介紹ContainerOS支援的常見營運容器操作,包括登入、啟動、停止、重啟、狀態查詢等。
本文僅面向非智能託管模式下的節點。
ContainerOS節點營運方式介紹
相較於宿主機環境,營運容器擁有更多的軟體包,也支援通過包管理軟體YUM安裝需要的軟體包。在營運容器中,您可以查看系統進程資訊、網路資訊、系統配置等。此外,營運容器裡還提供了專用的命令,用於從容器中進入主機,效果等同於直接通過Workbench、SSH或VNC串連執行個體。 |
自ContainerOS 3.5起,ContainerOS刪除了宿主機環境的Shell。您可參見以下說明選擇營運ContainerOS節點的方式。
營運方式 | ContainerOS 3.5 及以上 | ContainerOS 3.5 以下 |
登入營運容器 |
|
宿主機預設不開啟 sshd,即預設關閉SSH服務。 |
登入宿主機 | 登入營運容器後執行 |
|
您也可以通過kubectl debug命令營運ContainerOS。
ContainerOS 3.5 及以上的營運容器登入方式
分類 | Workbench(僅免密)登入 | VNC 登入 |
前提條件 | 不涉及。 營運容器中已安裝ECS雲助手,無需手動安裝。 | VNC登入需通過密碼認證,請先通過Workbench(僅免密)登入的方式設定營運容器登入密碼。 |
操作步驟 |
|
|
ContainerOS 3.5 以下的登入方式
登入宿主機
分類 | Workbench(僅免密)登入 | VNC 登入 |
前提條件 | 已確保節點網路可訪問雲助手服務。 | VNC登入需通過密碼認證,請先通過Workbench(僅免密)登入的方式設定營運容器登入密碼。 |
操作步驟 |
|
|
登入營運容器
準備工作
建立節點池時需配置登入憑證為金鑰組,請參見建立和管理節點池。
針對存量節點池也可以為已有執行個體綁定金鑰組,請參見綁定SSH金鑰組。
已安裝ECS雲助手,安裝方式請參見安裝雲助手Agent。
安全性群組已允許存取22連接埠,請參見管理安全性群組規則。
使用免密登入模式進行ECS執行個體操作。
進入主機環境
在ECS雲助手,執行以下命令,啟動營運容器。
sudo lifseacli container start預期輸出:
預期輸出表明,通過雲助手成功啟動了營運容器。
執行以下命令,在支援SSH命令的終端中,通過指定的私密金鑰登入到營運容器。
說明將
<ssh-private-key.pem>替換為您綁定到執行個體的金鑰組中的私密金鑰;<instance-ip>替換為執行個體IP。您也可以使用admin通過Workbench直接登入,密鑰為您綁定到執行個體的金鑰組中的私密金鑰。請確保您的執行個體已開放22連接埠。
ssh -i <ssh-private-key.pem> admin@<instance-ip>成功登入營運容器的介面如下所示。主機的根檔案系統已被掛載到營運容器的
/.lifsea/rootfs目錄(唯讀掛載),供您尋找所需的系統資訊、配置等。
執行以下命令,從營運容器登入到主機環境中。
sudo superman執行
ls命令,查詢可使用的系統命令。預期輸出:
在主機環境中,可用的系統命令有限。
營運容器相關操作
進入主機環境後,執行exit命令可退出主機環境,再次執行exit命令可退出營運容器。此時,營運容器仍然存在並處於運行狀態,您可再次通過SSH登入,或者通過命令停止、重啟、銷毀營運容器。
操作 | 說明 |
停止營運容器 | |
重啟營運容器 | 若您在啟動營運容器之後,重新綁定或解除綁定了金鑰組,則需要重啟營運容器,否則綁定或解除綁定金鑰組無法生效。 |
銷毀營運容器 | 重要 銷毀營運容器之後,您此前在容器中安裝的軟體、儲存的檔案也會隨之一併銷毀。若您重新啟動一個營運容器,便是一個全新的環境,請盡量不要在營運容器中儲存關鍵資料。 |
查詢營運容器狀態 | |
常見問題
登入出錯,提示UNPROTECTED PRIVATE KEY FILE!錯誤怎麼辦?
問題現象
報錯如下圖所示。
問題原因
私密金鑰檔案的許可權太大。
解決方案
執行chmod 400 <ssh-private-key.pem>命令,將私密金鑰檔案的許可權修改為400。其中,<ssh-private-key.pem>需要替換為您的私密金鑰檔案名稱。