k8s过滤特权容器

任务:过滤排查特权容器是哪个,怎么过滤出来

jsonpath

bash 复制代码
kubectl get pods --all-namespaces -o jsonpath='{range .items[?(@.spec.containers[*].securityContext.privileged == true)]}{.metadata.namespace} {.metadata.name}{"\n"}{end}'

jsonpath表达式{range ...}{...}{"\n"}{end},它的作用是遍历满足条件的Pod,并输出其命名空间和名称,每行一个Pod。

.items 是获取所有的Pod对象数组

"?"是一个jsonpath表达式的符号,用于进行筛选和过滤数据。它用于在列表中选择满足特定条件的元素。在这里,它的意思是选择满足条件"spec.containers[*].securityContext.privileged == true"的pod项。
"@"符号没有特殊意义,它仅用作字符串的一部分,用于格式化输出。在这个命令中,它用于在输出中添加一个空格。

?(@.spec.containers\[* \].securityContext.privileged == true)\] 是一个筛选条件,用于匹配具有至少一个容器的securityContext.privileged设置为true的Pod。 {.metadata.namespace} {.metadata.name}{"\\n"}:这部分表达式定义了要输出的内容。其中,{.metadata.namespace} 表示输出Pod的命名空间,{.metadata.name} 表示输出Pod的名称,{"\\n"} 表示输出换行符。

bash 复制代码
jsonpath表达式{range ...}{...}{"\n"}{end},它的作用是遍历满足条件的Pod,并输出其命名空间和名称,每行一个Pod。
请注意,jsonpath表达式语法

jq

bash 复制代码
kubectl get pods --all-namespaces -o json | jq '.items[] | select(.spec.containers[].securityContext.privileged==true) | {namespace: .metadata.namespace, pod: .metadata.name, ports: .spec.containers[].ports[]}'

jq是一个命令行工具,用于处理和查询JSON数据。它提供了一个简洁且功能强大的方式来过滤、转换和操作JSON数据。

.items[]表示遍历JSON数据中的items数组中的每个元素。

select(.spec.containers[].securityContext.privileged==true)表示选择具有至少一个容器的securityContext.privileged属性设置为true的元素。也就是说,只有满足这个条件的元素会通过过滤器。

{namespace: .metadata.namespace, pod: .metadata.name, ports: .spec.containers[].ports[]}是一个对象构造器,用于创建一个新的对象。这个对象包含三个属性:namespace表示命名空间,pod表示Pod名称,ports表示容器的端口。

jq下载链接: link,下载完成后

bash 复制代码
chmod +x jq-linux64 && mv jq-linux64 /usr/local/bin/
相关推荐
Reggie_L28 分钟前
RabbitMQ -- 高级特性
java·rabbitmq·java-rabbitmq
<但凡.1 小时前
Linux修炼:库制作与原理(一)
linux·运维·服务器
lang201509282 小时前
Spring空安全指南:告别空指针异常
java·安全·spring
学到头秃的suhian2 小时前
Java内存区域
java·jvm
栗子飞啊飞2 小时前
如何实现大模型 “边生成边显示“
java·deepseek
一介书生-0072 小时前
2025-10-27 Java AI学习路线
java·人工智能·学习
py有趣2 小时前
LeetCode算法学习之移除元素
java·数据结构·算法
Maple_land3 小时前
编译器的“隐形约定”与本地变量:解锁Linux变量体系的关键密码
linux·运维·服务器·c++·centos