⚠️

重要前提

安装AI Skills的关键前提是：必须科学上网，且开启TUN模式，这一点至关重要，直接决定安装能否顺利完成，在此郑重提醒三遍：科学上网，科学上网，科学上网。查看完整安装教程 →

kubectl debug 命令详解：Kubernetes 临时容器、Pod复制与节点调试指南

kubectl-debugging by laurigates/claude-plugins

67 周安装量

23 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/laurigates/claude-plugins --skill kubectl-debugging

开发运维容器编排调试

🇨🇳中文介绍

kubectl debug - 交互式 Kubernetes 调试

使用 kubectl debug 调试 Kubernetes 资源的专业知识 - 临时容器、Pod 副本和节点访问。

核心功能

kubectl debug 自动化常见的调试任务：

临时容器：向运行中的 Pod 添加调试容器而无需重启
Pod 复制：创建用于调试的修改副本（不同的镜像、命令）
节点调试：访问节点主机命名空间和文件系统

上下文安全性（至关重要）

务必在每个 kubectl 命令中明确指定 --context：

# 正确：明确指定上下文
kubectl --context=prod-cluster debug mypod -it --image=busybox

# 错误：依赖当前上下文
kubectl debug mypod -it --image=busybox  # 是哪个集群？

快速参考

添加临时调试容器

# 使用 busybox 进行交互式调试
kubectl --context=my-context debug mypod -it --image=busybox

# 目标指向特定容器的进程命名空间
kubectl --context=my-context debug mypod -it --image=busybox --target=mycontainer

# 使用特定的调试配置文件
kubectl --context=my-context debug mypod -it --image=busybox --profile=netadmin

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

复制 Pod 进行调试

# 创建调试副本
kubectl --context=my-context debug mypod -it --copy-to=mypod-debug --image=busybox

# 复制并更改容器镜像
kubectl --context=my-context debug mypod --copy-to=mypod-debug --set-image=app=busybox

# 复制并修改命令
kubectl --context=my-context debug mypod -it --copy-to=mypod-debug --container=myapp -- sh

# 在同一节点上复制
kubectl --context=my-context debug mypod -it --copy-to=mypod-debug --same-node --image=busybox

# 交互式节点调试（主机命名空间，文件系统位于 /host）
kubectl --context=my-context debug node/mynode -it --image=busybox

# 使用 sysadmin 配置文件以获得完整能力
kubectl --context=my-context debug node/mynode -it --image=ubuntu --profile=sysadmin

配置文件	使用场景	能力
`legacy`	默认，无限制	完全访问（向后兼容）
`general`	通用目的	中等限制
`baseline`	最小限制	Pod 安全基线
`netadmin`	网络故障排除	NET_ADMIN 能力
`restricted`	高安全环境	最严格的限制
`sysadmin`	系统管理	SYS_PTRACE, SYS_ADMIN

# 网络调试（tcpdump, netstat, ss）
kubectl --context=my-context debug mypod -it --image=nicolaka/netshoot --profile=netadmin

# 系统调试（strace, perf）
kubectl --context=my-context debug mypod -it --image=ubuntu --profile=sysadmin

镜像	大小	使用场景
`busybox`	~1MB	基础 shell，常用工具
`alpine`	~5MB	带有 apk 包管理器的 shell
`ubuntu`	~77MB	带有 apt 的完整 Linux
`nicolaka/netshoot`	~350MB	网络调试（tcpdump, dig, curl, netstat）
`gcr.io/k8s-debug/debug`	可变	官方 Kubernetes 调试镜像

# 添加 netshoot 容器进行网络调试
kubectl --context=my-context debug mypod -it \
  --image=nicolaka/netshoot \
  --profile=netadmin

# 在容器内：
# - tcpdump -i any port 80
# - dig kubernetes.default
# - curl -v http://service:port
# - ss -tlnp
# - netstat -an

# 复制 Pod 并使用不同的入口点进行检查
kubectl --context=my-context debug mypod -it \
  --copy-to=mypod-debug \
  --container=app \
  -- sh

# 内部：检查文件系统、环境变量、配置文件

# 目标容器的进程命名空间
kubectl --context=my-context debug mypod -it \
  --image=busybox \
  --target=mycontainer

# 内部：ps aux, /proc 检查

# 调试具有主机访问权限的节点
kubectl --context=my-context debug node/worker-1 -it \
  --image=ubuntu \
  --profile=sysadmin

# 内部：
# - 主机文件系统位于 /host
# - chroot /host 以获得完全访问权限
# - journalctl, systemctl, dmesg

# 创建副本，保持原始 Pod 运行
kubectl --context=my-context debug mypod -it \
  --copy-to=mypod-debug \
  --same-node \
  --share-processes \
  --image=busybox

# 原始 Pod 继续处理流量
# 如果在同一节点上，调试副本共享存储

选项	描述
`-it`	交互式 TTY（shell 访问必需）
`--image`	调试容器镜像
`--container`	调试容器的名称
`--target`	与此容器共享进程命名空间
`--copy-to`	创建副本而非临时容器
`--same-node`	在同一节点上调度副本（与 `--copy-to` 一起使用）
`--set-image`	更改副本中的容器镜像
`--profile`	安全配置文件（legacy, netadmin, sysadmin 等）
`--share-processes`	启用进程命名空间共享（默认：与 --copy-to 一起使用时为 true）
`--replace`	创建副本时删除原始 Pod

使用适当的配置文件 - 使能力与调试需求匹配
优先使用临时容器 - 比 Pod 副本干扰更小
对侵入性调试使用 --copy-to - 保留原始 Pod
清理调试 Pod - 调试后删除副本
使用 --same-node - 用于访问共享存储/网络条件

# 列出调试 Pod 副本
kubectl --context=my-context get pods | grep -E "debug|copy"

# 删除调试 Pod
kubectl --context=my-context delete pod mypod-debug

Kubernetes 1.23+ 支持临时容器（稳定版）
Kubernetes 1.25+ 支持调试配置文件
对 pods/ephemeralcontainers 的 RBAC 权限

有关详细选项参考、示例和故障排除模式，请参阅 REFERENCE.md。

🇺🇸English

kubectl debug - Interactive Kubernetes Debugging

Expert knowledge for debugging Kubernetes resources using kubectl debug - ephemeral containers, pod copies, and node access.

Core Capabilities

kubectl debug automates common debugging tasks:

Ephemeral Containers : Add debug containers to running pods without restart
Pod Copying : Create modified copies for debugging (different images, commands)
Node Debugging : Access node host namespaces and filesystem

Context Safety (CRITICAL)

Always specify--context explicitly in every kubectl command:

# CORRECT: Explicit context
kubectl --context=prod-cluster debug mypod -it --image=busybox

# WRONG: Relying on current context
kubectl debug mypod -it --image=busybox  # Which cluster?

Quick Reference

Add Ephemeral Debug Container

# Interactive debugging with busybox
kubectl --context=my-context debug mypod -it --image=busybox

# Target specific container's process namespace
kubectl --context=my-context debug mypod -it --image=busybox --target=mycontainer

# Use a specific debug profile
kubectl --context=my-context debug mypod -it --image=busybox --profile=netadmin

Copy Pod for Debugging

# Create debug copy
kubectl --context=my-context debug mypod -it --copy-to=mypod-debug --image=busybox

# Copy and change container image
kubectl --context=my-context debug mypod --copy-to=mypod-debug --set-image=app=busybox

# Copy and modify command
kubectl --context=my-context debug mypod -it --copy-to=mypod-debug --container=myapp -- sh

# Copy on same node
kubectl --context=my-context debug mypod -it --copy-to=mypod-debug --same-node --image=busybox

Debug Node

# Interactive node debugging (host namespaces, filesystem at /host)
kubectl --context=my-context debug node/mynode -it --image=busybox

# With sysadmin profile for full capabilities
kubectl --context=my-context debug node/mynode -it --image=ubuntu --profile=sysadmin

Debug Profiles

Profile	Use Case	Capabilities
`legacy`	Default, unrestricted	Full access (backwards compatible)
`general`	General purpose	Moderate restrictions
`baseline`	Minimal restrictions	Pod security baseline
`netadmin`	Network troubleshooting	NET_ADMIN capability
`restricted`	High security environments

# Network debugging (tcpdump, netstat, ss)
kubectl --context=my-context debug mypod -it --image=nicolaka/netshoot --profile=netadmin

# System debugging (strace, perf)
kubectl --context=my-context debug mypod -it --image=ubuntu --profile=sysadmin

Common Debug Images

Image	Size	Use Case
`busybox`	~1MB	Basic shell, common utilities
`alpine`	~5MB	Shell with apk package manager
`ubuntu`	~77MB	Full Linux with apt
`nicolaka/netshoot`	~350MB	Network debugging (tcpdump, dig, curl, netstat)
`gcr.io/k8s-debug/debug`	Varies

Debugging Patterns

Network Connectivity Issues

# Add netshoot container for network debugging
kubectl --context=my-context debug mypod -it \
  --image=nicolaka/netshoot \
  --profile=netadmin

# Inside container:
# - tcpdump -i any port 80
# - dig kubernetes.default
# - curl -v http://service:port
# - ss -tlnp
# - netstat -an

Application Crashes

# Copy pod with different entrypoint to inspect
kubectl --context=my-context debug mypod -it \
  --copy-to=mypod-debug \
  --container=app \
  -- sh

# Inside: check filesystem, env vars, config files

Process Inspection

# Target container's process namespace
kubectl --context=my-context debug mypod -it \
  --image=busybox \
  --target=mycontainer

# Inside: ps aux, /proc inspection

Node-Level Issues

# Debug node with host access
kubectl --context=my-context debug node/worker-1 -it \
  --image=ubuntu \
  --profile=sysadmin

# Inside:
# - Host filesystem at /host
# - chroot /host for full access
# - journalctl, systemctl, dmesg

Non-Destructive Debugging

# Create copy, keeping original running
kubectl --context=my-context debug mypod -it \
  --copy-to=mypod-debug \
  --same-node \
  --share-processes \
  --image=busybox

# Original pod continues serving traffic
# Debug copy shares storage if on same node

Key Options

Option	Description
`-it`	Interactive TTY (required for shell access)
`--image`	Debug container image
`--container`	Name for the debug container
`--target`	Share process namespace with this container
`--copy-to`	Create a copy instead of ephemeral container
`--same-node`	Schedule copy on same node (with )

Best Practices

Use appropriate profiles - Match capabilities to debugging needs
Prefer ephemeral containers - Less disruptive than pod copies
Use--copy-to for invasive debugging - Preserve original pod
Clean up debug pods - Delete copies after debugging
Use--same-node - For accessing shared storage/network conditions

Cleanup

# List debug pod copies
kubectl --context=my-context get pods | grep -E "debug|copy"

# Delete debug pods
kubectl --context=my-context delete pod mypod-debug

Requirements

Kubernetes 1.23+ for ephemeral containers (stable)
Kubernetes 1.25+ for debug profiles
RBAC permissions for pods/ephemeralcontainers

For detailed option reference, examples, and troubleshooting patterns, see REFERENCE.md.

Weekly Installs

Repository

laurigates/clau…-plugins

GitHub Stars

First Seen

Jan 29, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykWarn

Installed on

opencode65

gemini-cli63

codex63

github-copilot63

kimi-cli62

amp62

Azure 升级评估与自动化工具 - 轻松迁移 Functions 计划、托管层级和 SKU

111,700 周安装

kubectl debug 命令详解：Kubernetes 临时容器、Pod复制与节点调试指南

🇨🇳中文介绍

kubectl debug - 交互式 Kubernetes 调试

核心功能

上下文安全性（至关重要）

快速参考

添加临时调试容器

相关 Skills

复制 Pod 进行调试

调试节点

调试配置文件

常用调试镜像

调试模式

网络连接问题

应用程序崩溃

进程检查

节点级别问题

非破坏性调试

关键选项

最佳实践

清理

要求