Kubelet 检查点 API
Kubernetes v1.25 [alpha]容器检查点功能用于创建正在运行容器的状态副本。创建容器的状态副本后,可以将其移动到其他计算机上进行调试或类似操作。
如果将检查点容器数据移动到能够恢复它的计算机,则恢复的容器将从检查点时的确切位置继续运行。您还可以检查保存的数据,前提是您拥有合适的工具。
创建容器检查点可能存在安全隐患。通常,检查点包含检查点容器中所有进程的所有内存页。这意味着以前在内存中的所有内容现在都可以在本地磁盘上找到。这包括所有私有数据,以及可能用于加密的密钥。底层 CRI 实现(该节点上的容器运行时)应创建仅供root用户访问的检查点存档。仍然需要记住,如果将检查点存档传输到其他系统,所有内存页都将可供检查点存档的所有者读取。
操作
post 检查点指定的容器
告诉 kubelet 从指定的 Pod 检查点特定容器。
有关如何控制对 kubelet 检查点接口的访问的更多信息,请参阅Kubelet 身份验证/授权参考。
kubelet 将向底层CRI 实现请求检查点。在检查点请求中,kubelet 将指定检查点存档的名称为checkpoint-<podFullName>-<containerName>-<timestamp>.tar,并请求将检查点存档存储在其根目录(由--root-dir定义)下的checkpoints目录中。默认情况下,此目录为/var/lib/kubelet/checkpoints。
检查点存档采用tar格式,可以使用tar的实现列出。存档的内容取决于底层 CRI 实现(该节点上的容器运行时)。
HTTP 请求
POST /checkpoint/{namespace}/{pod}/{container}
参数
namespace (在路径中): 字符串,必需
命名空间pod (在路径中): 字符串,必需
Podcontainer (在路径中): 字符串,必需
容器timeout (在查询中): 整数
等待检查点创建完成的超时时间(以秒为单位)。如果指定为零或没有超时时间,则将使用默认的CRI 超时值。检查点创建时间直接取决于容器使用的内存。容器使用的内存越多,创建相应检查点所需的时间就越长。
响应
200: 正常
401: 未授权
404: 未找到(如果ContainerCheckpoint功能开关已禁用)
404: 未找到(如果指定的namespace、pod或container找不到)
500: 内部服务器错误(如果 CRI 实现遇到检查点错误(有关详细信息,请参阅错误消息))
500: 内部服务器错误(如果 CRI 实现未实现检查点 CRI API(有关详细信息,请参阅错误消息))