那些遇到过的问题

Kubernetes - 为每个卷(而不是每个 pod)设置自定义权限/文件所有权

Ada*_*ski 6 kubernetes

有没有办法在 Kubernetes 中以声明方式设置每个卷的权限/所有权?

用例:

  • 一个 Pod 由两个容器组成,作为两个不同的用户/组运行,它们都是非 root 用户,并且无法 sudo
  • 容器分别挂载一个卷,并需要在这些卷中创建文件(例如,它们都想写入日志)

我们知道我们可以使用fsGroup,但这是一个 pod 级别的声明。所以即使我们在第一个容器中选择 fsGroup 等于用户,那么我们也会在另一个容器中遇到权限问题。(参考:Kubernetes:如何设置 VolumeMount 用户组和文件权限

Ada*_*ski 7

一种解决方案是使用 init-container 更改已安装目录的权限

初始化容器需要安装两个卷(来自两个容器),并执行所需的chown/chmod操作。

缺点:

  • 需要了解其他容器的特定信息(即 uid/gid)的额外容器
  • init容器需要以root身份运行才能执行chown

  • 嗨@Adam - 你能找到替代解决方案吗? (2认同)

归档时间:

查看次数:

7781 次

最近记录:

5 年 前
Kubernetes:如何设置VolumeMount用户组和文件权限 31
更多相关链接
相关归档
kubernetes:使用cli修改秘密? 24
如何为 AKS 上的负载均衡器服务设置域名 8
Google Cloud GKE 多专区集群与区域集群 7
基于时间的Kubernetes集装箱调度? 6
无法从Google Kubernetes Engine群集访问Google Cloud Datastore 6
使用 terraform 设置 LetsEncrypt ClusterIssuer 6
Kubernetes:网络策略 - 拒绝所有与允许所有 5
如何列出kubernetes pod及其容器的所有securityContext 5
如何从组件中获取运行的 id? 4
Kubernetes 取消了对 Docker 的支持但支持 containerd(它是 Docker 的一部分),这意味着什么? 4
难疑归档
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
什么是依赖注入? 2984
Bower和npm有什么区别? 1723
什么是非捕获组?(?:)做什么? 1653
使当前的Git分支成为主分支 1555
如何显示JavaScript对象? 1520
为什么在允许某些Unicode字符的注释中执行Java代码? 1326
Python字符串格式:%vs. .format 1323
如何在同一元素上组合背景图像和CSS3渐变? 1203
忽略git项目中的任何"bin"目录 1172