容器高手实战课-为什么不能kill掉1号进程

2021-12-20

提出问题：

想修改容器镜像里的一个 bug，但是因为网络配置的问题，又不想为了重建 pod 而改变 pod IP。在 k8s 上没有 restart pod 这个指令。所以使用 kill pid 1 让容器原地重启。

测试想法：

使用 github 案例 Dockerfile 构建镜像。

使用 init.sh 作为容器的 init 进程，执行 kill 1 和 kill -9 1，发现容器并未停止。

ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ docker run --name sig-proc -d sig-proc:v1 /init.sh
36a9190fcd53ff9d8a0c6469708750ba5b856d6d72020997e6333a1f17bdb81b
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ docker ps -a
CONTAINER ID   IMAGE         COMMAND      CREATED         STATUS         PORTS     NAMES
36a9190fcd53   sig-proc:v1   "/init.sh"   3 seconds ago   Up 2 seconds             sig-proc
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ docker exec -it 36a9190fcd53 bash
[root@36a9190fcd53 /]# ps -ef
UID          PID    PPID  C STIME TTY          TIME CMD
root           1       0  0 14:22 ?        00:00:00 /bin/bash /init.sh
root           9       1  0 14:22 ?        00:00:00 /usr/bin/coreutils --coreutils-prog-shebang=sleep /usr/bin/sleep
root          10       0  1 14:22 pts/0    00:00:00 bash
root          26      10  0 14:22 pts/0    00:00:00 ps -ef
[root@36a9190fcd53 /]# kill 1
[root@36a9190fcd53 /]# kill -9 1
[root@36a9190fcd53 /]# ps -ef
UID          PID    PPID  C STIME TTY          TIME CMD
root           1       0  0 14:22 ?        00:00:00 /bin/bash /init.sh
root           9       1  0 14:22 ?        00:00:00 /usr/bin/coreutils --coreutils-prog-shebang=sleep /usr/bin/sleep
root          10       0  0 14:22 pts/0    00:00:00 bash
root          27      10  0 14:22 pts/0    00:00:00 ps -ef

使用 c 程序作为 init 进程，尝试上述操作，发现无法杀死这个 1 号进程。

ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ docker run --name sig-proc-c -d sig-proc:v1 /c-init-nosig
37db12aba7a59ed093c1934b2b316c3f1718db775d5536ef3c675acd9fdfe58c
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ docker ps -a
CONTAINER ID   IMAGE         COMMAND           CREATED         STATUS         PORTS     NAMES
37db12aba7a5   sig-proc:v1   "/c-init-nosig"   3 seconds ago   Up 2 seconds             sig-proc-c
36a9190fcd53   sig-proc:v1   "/init.sh"        9 minutes ago   Up 9 minutes             sig-proc
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ docker exec -it 37db12aba7a5 bash
[root@37db12aba7a5 /]# ps -ef
UID          PID    PPID  C STIME TTY          TIME CMD
root           1       0  0 14:32 ?        00:00:00 /c-init-nosig
root           8       0  2 14:32 pts/0    00:00:00 bash
root          23       8  0 14:32 pts/0    00:00:00 ps -ef
[root@37db12aba7a5 /]# kill -9 1
[root@37db12aba7a5 /]# kill 1
[root@37db12aba7a5 /]# ps -ef
UID          PID    PPID  C STIME TTY          TIME CMD
root           1       0  0 14:32 ?        00:00:00 /c-init-nosig
root           8       0  0 14:32 pts/0    00:00:00 bash
root          24       8  0 14:32 pts/0    00:00:00 ps -ef
[root@37db12aba7a5 /]#

使用 go 程序作为 init 进程，再次执行上述操作，发现 kill -9 1 不能杀死，但是 kill 1 可以杀死进程，容器退出。

ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ docker run --name sig-proc -d sig-proc:v1 /go-init
e292f5c65155839804c4f4de582fbd01a7ab4843a2645d1a5ec5d7b77a6d185b
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ docker exec -it e292f5c651558 bash
[root@e292f5c65155 /]# ps -ef
UID          PID    PPID  C STIME TTY          TIME CMD
root           1       0  0 14:34 ?        00:00:00 /go-init
root          11       0  1 14:34 pts/0    00:00:00 bash
root          26      11  0 14:34 pts/0    00:00:00 ps -ef
[root@e292f5c65155 /]# kill -9 1
[root@e292f5c65155 /]# kill 1
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$

干货：

kill 1 向 1 号进程发送了 SIGTERM(15) 信号；
kill -9 1 向 1 号进程发送 SIGKILL(9) 信号；
Ctrl+c 是 SIGINT(2) 信号。

查看信号编号和名称：kill -l

ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ kill -l
 1) SIGHUP	 2) SIGINT	 3) SIGQUIT	 4) SIGILL	 5) SIGTRAP
 6) SIGABRT	 7) SIGBUS	 8) SIGFPE	 9) SIGKILL	10) SIGUSR1
11) SIGSEGV	12) SIGUSR2	13) SIGPIPE	14) SIGALRM	15) SIGTERM
16) SIGSTKFLT	17) SIGCHLD	18) SIGCONT	19) SIGSTOP	20) SIGTSTP
21) SIGTTIN	22) SIGTTOU	23) SIGURG	24) SIGXCPU	25) SIGXFSZ
26) SIGVTALRM	27) SIGPROF	28) SIGWINCH	29) SIGIO	30) SIGPWR
31) SIGSYS	34) SIGRTMIN	35) SIGRTMIN+1	36) SIGRTMIN+2	37) SIGRTMIN+3
38) SIGRTMIN+4	39) SIGRTMIN+5	40) SIGRTMIN+6	41) SIGRTMIN+7	42) SIGRTMIN+8
43) SIGRTMIN+9	44) SIGRTMIN+10	45) SIGRTMIN+11	46) SIGRTMIN+12	47) SIGRTMIN+13
48) SIGRTMIN+14	49) SIGRTMIN+15	50) SIGRTMAX-14	51) SIGRTMAX-13	52) SIGRTMAX-12
53) SIGRTMAX-11	54) SIGRTMAX-10	55) SIGRTMAX-9	56) SIGRTMAX-8	57) SIGRTMAX-7
58) SIGRTMAX-6	59) SIGRTMAX-5	60) SIGRTMAX-4	61) SIGRTMAX-3	62) SIGRTMAX-2
63) SIGRTMAX-1	64) SIGRTMAX

进程在收到信号后的处理方式：
1）忽略(Ignore)，对于信号不作任何处理，但是除 SIGKILL 和 SIGSTOP 两个特权信号(这两个作用是为 kernel 和超级用户提供删除任意进程的特权)；
2）捕获(Catch)，用户进程可以注册针对这个信号的 handler(特权信号不能有用户自己的处理代码，只能执行系统缺省行为)；
3）缺省(Default)，Linux 系统对每一个信号都定义了一个缺省行为(man 7 signal查看)。

运行 kill 1 命令时候，Linux 调用 kill() 系统调用进入内核函数 sys_kill()，内核会调用 sig_task_ignored() 函数来判断是否将信号发送给 1 号进程。sig_task_ignored() 实现如下：

kernel/signal.c
static bool sig_task_ignored(struct task_struct *t, int sig, bool force)
{
        void __user *handler;
        handler = sig_handler(t, sig);

        /* SIGKILL and SIGSTOP may not be sent to the global init */
        if (unlikely(is_global_init(t) && sig_kernel_only(sig)))

                return true;

        if (unlikely(t->signal->flags & SIGNAL_UNKILLABLE) &&
            handler == SIG_DFL && !(force && sig_kernel_only(sig)))
                return true;

        /* Only allow kernel generated signals to this kthread */
        if (unlikely((t->flags & PF_KTHREAD) &&
                     (handler == SIG_KTHREAD_KERNEL) && !force))
                return true;

        return sig_handler_ignored(handler, sig);
}

第一个 if：如果是 SIGKILL(9) 和 SIGSTOP(19) 并且发送给 init 进程就忽略。
第三个 if：仅允许内核生成的信号发送到 kthread。
重点是第二个 if：

!(force && sig_kernel_only(sig)) 其中 force 对于同一个 Namespace 发送的信号来说是 0，不同 Namespace 发出的是 1。
handler==SIG_DFL 判断是否为系统缺省的 handler，用户如果不注册自己的 handler 此项为 true。

t->signal->flags & SIGNAL_UNKILLABLE 进程必须是 UNKILLABLE 的，这个 flag 在每个 Namespace 的 init 进程建立的时候就会打上，也就是只要是 1 号进程就会有这个 flag(参考一下代码：kernel/fork.c)。

kernel/fork.c
                       if (is_child_reaper(pid)) {
                                ns_of_pid(pid)->child_reaper = p;
                                p->signal->flags |= SIGNAL_UNKILLABLE;
                        }

/*
 * is_child_reaper returns true if the pid is the init process
 * of the current namespace. As this one could be checked before
 * pid_ns->child_reaper is assigned in copy_process, we check
 * with the pid number.
 */

static inline bool is_child_reaper(struct pid *pid)
{
        return pid->numbers[pid->level].nr == 1;
}

总结：最关键一点就是 handler==SIG_DFL，所以 init 进程是永远不能被 SIGKILL 杀掉，但是可以被 SIGTERM 杀掉(SIGKILL 不允许注册 handler)。

查看进程注册了那些信号：cat /proc/<pid>/status | grep SigCgt，掩码位解释：qastack.cn。

bash 程序注册了 2 个 handler，SIGINT(2) 和 SIGCHLD(17)，但是没有注册 SIGTERM 所以 kill 1 杀不掉；
c 程序缺省状态下，没有注册任何信号的 handler，所以默认都被系统忽略；
go 程序中注册了很多 handler，包括了 SIGTERM(15) 所以可以被 kill 1 干掉。

给 c 程序增加 SIGTERM 的 handler，在 handler 中主动退出，运行 kill 1 如期：


#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <sys/wait.h>
#include <unistd.h>

void sig_handler(int signo)
{
    if (signo == SIGTERM) {
           printf("received SIGTERM\n");
           exit(0);
    }
}

int main(int argc, char *argv[])
{
    signal(SIGTERM, sig_handler);

    printf("Process is sleeping\n");
    while (1) {
           sleep(100);
    }
    return 0;
}

测试：

ahojliu@ubuntu:~$ docker exec -it 6b07b9b46a43 bash
[root@6b07b9b46a43 /]# ps -ef
UID          PID    PPID  C STIME TTY          TIME CMD
root           1       0  0 15:22 ?        00:00:00 /c-init-sig
root           8       0  0 15:22 pts/0    00:00:00 bash
root          23       8  0 15:22 pts/0    00:00:00 ps -ef
[root@6b07b9b46a43 /]# cat /proc/1/status | grep SigCgt
SigCgt:	0000000000004000
[root@6b07b9b46a43 /]# kill 1
[root@6b07b9b46a43 /]# ahojliu@ubuntu:~$ docker ps
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES
ahojliu@ubuntu:~$
ahojliu@ubuntu:~$ docker logs 6b07b9b46a43
Process is sleeping
received SIGTERM

在宿主机上 kill <pid> 不可以杀掉容器 init 进程，!(force && sig_kernel_only(sig)) 中 force 为 1 且 SIGTERM 不是内核信号，所以忽略；kill -9 <pid> 可以杀掉容器 init 进程。

ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ docker ps
CONTAINER ID   IMAGE         COMMAND           CREATED         STATUS        PORTS     NAMES
9136344690d9   sig-proc:v1   "/c-init-nosig"   3 seconds ago   Up 1 second             sig-proc
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ pstree -stp | grep c-init
           |-containerd-shim(66795)-+-c-init-nosig(66817)
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ ps -ef | grep 66817
root       66817   66795  0 07:38 ?        00:00:00 /c-init-nosig
ahojliu    66858   60688  0 07:38 pts/1    00:00:00 grep --color=auto 66817
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ kill 66817
-bash: kill: (66817) - Operation not permitted
ahojliu@ubuntu:~/Downloads/training/init_proc/handle_sig$ sudo -i
[sudo] password for ahojliu:
root@ubuntu:~# kill 66817
root@ubuntu:~# ps -ef | grep 66817
root       66817   66795  0 07:38 ?        00:00:00 /c-init-nosig
root       66870   66860  0 07:39 pts/1    00:00:00 grep --color=auto 66817
root@ubuntu:~# kill -9 66817
root@ubuntu:~# ps -ef | grep 66817
root       66892   66860  0 07:39 pts/1    00:00:00 grep --color=auto 66817
root@ubuntu:~# docker ps
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES

但是其实在生产中很多普通用户是没有宿主机权限的。

EOF