cks

3.22 crictl / containers

Detalhamento do crictl para inspecionar containers e pods no nó (CKS).

O que é

O crictl é o CLI para o CRI (Container Runtime Interface). Ele permite listar pods e containers, inspecionar detalhes (labels, AppArmor, args, etc.) e fazer operações básicas nos nós. No CKS é usado para relacionar um container ID (ex.: de um alerta do Falco) ao pod/namespace e para ver configuração de segurança (AppArmor, seccomp, etc.).

Documentação oficial

• crictl
• CRI

Comandos principais

# Listar todos os containers (incluindo parados)
crictl ps -a

# Listar pods
crictl pods
crictl pods --name <pod-name-prefix>

# Inspecionar container (JSON com apparmor, args, labels, etc.)
crictl inspect <container-id>

# Descobrir a qual pod um container pertence
crictl ps -a --id <container-id>
# ou via inspect: no JSON há referência ao pod

• crictl ps -a: todos os containers.
• crictl pods: lista de pods no nó.
• crictl inspect <container-id>: detalhes do container (runtime, security context, AppArmor profile, args, etc.).

Uso no exame

• Falco / alertas: dado um container ID no alerta, use crictl inspect <id> ou crictl ps para mapear para pod/namespace.
• Syscalls (strace): use crictl ps e crictl pods para achar o pod, depois ps/strace no nó para o PID.
• AppArmor / seccomp: em crictl inspect verifique os campos de segurança (labels, annotations, runtime config).

Resumo para o exame

• crictl ps -a: listar containers.
• crictl pods: listar pods.
• crictl inspect <container-id> : ver apparmor, args, pod ref, etc.
• crictl ps –pod <pod-id> ou -id <container-id> para relacionar container ↔ pod.