Debug 模式

• 没有端口配置，因此像 ports、livenessProbe、readinessProbe 这样的字段是不允许的。(仅限于kubelet edit中，对于反弹shell等权限维持操作是不冲突的)

• Pod 资源分配是不可变的，因此 resources 配置是不允许的。

• 和当前pod下的其它container不共享同一个运行时(运行时隔离)

1. 在攻击中不影响原有pod业务 从而防止被查杀 比如批量跑某个命名空间下的安全扫描的脚本而不用干扰原容器

1. 在制作权限维持的时候利用临时容器不易被"规则探针"检测的能力制作后门

2. Debug node: 利用Ephemeral Containers还能对Worker节点进行调试。当以节点为目标调用时，kubectl debug 将创建一个带有node名称的pod，并且调度到该节点。同时该容器还具备了hostIPC、hostNetwork和hostPID这些特权模式。不可思议的是Worker节点的根文件系统还被mount到了debug容器下的/host目录下。 直接执行这个命令就能debug主机。

1. 没有相关的api直接创建临时容器

2. 不允许通过补丁对 ephemeralContainers 进行更新 ， 按照patch_pod原理上能在edit形式上进行patch 但是无法在已经运行的pod中patch

3. 最不优雅的方法

Adapter 模式

• Adapter 模式通过在同一个 Pod 中添加一个适配器容器（Adapter 容器）来将主容器的输出格式转换为其他系统或服务所需的格式。Adapter 容器通常用于日志格式转换、监控数据格式转换、事件格式转换等。

• 常见用途:
• 日志格式转换（如 Fluentd 配置）。
• 监控数据格式转换（如 Prometheus Adapter）。
• 事件格式转换（如 Kafka Connect）。

• : Ambassador 模式通过在同一个 Pod 中添加一个代理容器（Ambassador 容器）来简化主容器与外部服务之间的通信。Ambassador 容器通常用于代理数据库连接、外部 API 请求、提供负载均衡和缓存功能等。

• 常见用途:
• 代理数据库连接（如 MySQL Proxy）。
• 代理外部 API 请求（如 Envoy）。
• 提供负载均衡和缓存功能（如 Nginx）。