嘿，我来帮你搞定这个问题！你提到在Docker里靠挂载docker.sock实现类似需求，但在Kubernetes里有更优雅、更贴合K8s设计理念的方案，完全不需要依赖kubectl或者节点级的敏感资源。下面给你两种实用的实现方式：

方案一：使用EmptyDir共享卷（最推荐） #

这个方案的核心是让应用容器把日志同时输出到stdout/stderr（满足K8s默认日志收集机制）和共享卷内的文件，这样sidecar容器就能直接读取共享卷里的文件并写入logs.txt。

具体配置步骤： #

1. 在Pod定义中添加一个emptyDir卷，这个卷会伴随Pod的生命周期存在，同一个Pod里的所有容器都能访问它。
2. 修改应用容器的启动命令，用tee命令把stdout/stderr同时输出到控制台和共享卷里的日志文件。
3. 给sidecar容器挂载同一个emptyDir卷，用tail等命令读取日志文件，再写入logs.txt（也可以直接在sidecar里做其他日志处理）。

示例Pod YAML：

apiVersion: v1
kind: Pod
metadata:
  name: log-collector-pod
spec:
  containers:
    - name: app-container
      image: your-app-image
      command: ["sh", "-c"]
      args:
        - "your-app-command 2>&1 | tee /shared-logs/app.log"
      volumeMounts:
        - name: shared-logs
          mountPath: /shared-logs
    - name: log-sidecar
      image: alpine:latest
      command: ["sh", "-c"]
      args:
        - "tail -f /shared-logs/app.log >> /shared-logs/logs.txt"
      volumeMounts:
        - name: shared-logs
          mountPath: /shared-logs
  volumes:
    - name: shared-logs
      emptyDir: {}

这个方案的优势： #

• 贴合K8s设计：利用Pod内容器共享存储的原生特性，不依赖外部资源或敏感权限。
• 兼容性拉满：不管你用Docker、containerd还是cri-o作为容器 runtime，都能正常工作。
• 日志双重保障：应用日志既输出到stdout/stderr（方便集群日志系统如ELK、Promtail收集），又写入共享文件（供sidecar处理）。

方案二：直接读取节点上的容器日志文件（不推荐生产环境） #

如果你实在不想修改应用的启动命令，可以尝试挂载节点上的容器日志文件到sidecar，但这个方案有明显局限性：

注意事项： #

• Kubernetes会把每个容器的stdout/stderr日志写入节点的/var/log/containers/目录，文件名格式是<pod-name>_<namespace>_<container-name>-<container-id>.log。
• 这种方式需要用hostPath卷挂载节点路径，但容器ID是动态生成的，Pod调度到不同节点时路径也会变，耦合性极高，稳定性差。
• 而且需要给Pod配置节点级权限，存在安全风险。

示例（仅作演示，不建议生产使用）：

apiVersion: v1
kind: Pod
metadata:
  name: risky-log-pod
spec:
  containers:
    - name: app-container
      image: your-app-image
    - name: log-sidecar
      image: alpine:latest
      command: ["sh", "-c"]
      args:
        - "tail -f /var/log/containers/log-collector-pod_default_app-container-*.log >> /logs/logs.txt"
      volumeMounts:
        - name: node-logs
          mountPath: /var/log/containers
        - name: logs-output
          mountPath: /logs
  volumes:
    - name: node-logs
      hostPath:
        path: /var/log/containers
    - name: logs-output
      emptyDir: {}

为什么不推荐用kubectl或挂载docker.sock？ #

• 挂载docker.sock：需要Pod拥有节点级权限，会带来严重安全风险（比如容器可以直接控制节点上的Docker daemon），而且K8s现在越来越多地使用非Docker runtime，兼容性很差。
• 在Pod内用kubectl：需要给Pod配置RBAC权限（允许访问Pod日志），还要在容器里安装kubectl，步骤繁琐，完全没必要——同一个Pod里的容器共享存储才是最直接的方式。

内容的提问来源于stack exchange，提问作者Yagel