k8s过滤特权容器

任务:过滤排查特权容器是哪个,怎么过滤出来

jsonpath

bash 复制代码
kubectl get pods --all-namespaces -o jsonpath='{range .items[?(@.spec.containers[*].securityContext.privileged == true)]}{.metadata.namespace} {.metadata.name}{"\n"}{end}'

jsonpath表达式{range ...}{...}{"\n"}{end},它的作用是遍历满足条件的Pod,并输出其命名空间和名称,每行一个Pod。

.items 是获取所有的Pod对象数组

"?"是一个jsonpath表达式的符号,用于进行筛选和过滤数据。它用于在列表中选择满足特定条件的元素。在这里,它的意思是选择满足条件"spec.containers*.securityContext.privileged == true"的pod项。
"@"符号没有特殊意义,它仅用作字符串的一部分,用于格式化输出。在这个命令中,它用于在输出中添加一个空格。
?(@.spec.containers\[* .securityContext.privileged == true)] 是一个筛选条件,用于匹配具有至少一个容器的securityContext.privileged设置为true的Pod。

{.metadata.namespace} {.metadata.name}{"\n"}:这部分表达式定义了要输出的内容。其中,{.metadata.namespace} 表示输出Pod的命名空间,{.metadata.name} 表示输出Pod的名称,{"\n"} 表示输出换行符。

bash 复制代码
jsonpath表达式{range ...}{...}{"\n"}{end},它的作用是遍历满足条件的Pod,并输出其命名空间和名称,每行一个Pod。
请注意,jsonpath表达式语法

jq

bash 复制代码
kubectl get pods --all-namespaces -o json | jq '.items[] | select(.spec.containers[].securityContext.privileged==true) | {namespace: .metadata.namespace, pod: .metadata.name, ports: .spec.containers[].ports[]}'

jq是一个命令行工具,用于处理和查询JSON数据。它提供了一个简洁且功能强大的方式来过滤、转换和操作JSON数据。

.items\[\]表示遍历JSON数据中的items数组中的每个元素。

select(.spec.containers\[\].securityContext.privileged==true)表示选择具有至少一个容器的securityContext.privileged属性设置为true的元素。也就是说,只有满足这个条件的元素会通过过滤器。

{namespace: .metadata.namespace, pod: .metadata.name, ports: .spec.containers\[\].ports\[\]}是一个对象构造器,用于创建一个新的对象。这个对象包含三个属性:namespace表示命名空间,pod表示Pod名称,ports表示容器的端口。

jq下载链接: link,下载完成后

bash 复制代码
chmod +x jq-linux64 && mv jq-linux64 /usr/local/bin/
相关推荐
不能跑的代码不是好代码3 小时前
Linux系统常用命令中文速查表
linux·运维·服务器
wuqingshun3141594 小时前
什么是责任链模式,一般用在什么场景?
java·责任链模式
石一峰6994 小时前
深入理解 Linux 中断三层机制与 1-Wire 时序锁原理
linux·运维·服务器
运维老郭4 小时前
PostgreSQL编译安装实战
运维·postgresql
:-)4 小时前
算法-归并排序
java·开发语言·数据结构·算法·排序算法
wuqingshun3141595 小时前
说一下消息队列的模型有哪些?
java
无限码农5 小时前
Linux上通过cmake编译uchardet
linux·运维·服务器
fīɡЙtīиɡ ℡6 小时前
布隆过滤器
java
yaoxin5211236 小时前
462. Java 反射 - 获取声明类与封闭类
java·开发语言·python
运维大师6 小时前
【Linux运维极简教程】06-网络配置与管理
linux·运维