Sim*_*ate 6 docker kubernetes apache-zookeeper
我正在尝试创建一个运行zookeper的有状态集,但我希望它以非root身份运行(即在zookeper用户下)。
这是用于此目的的图像:
https://github.com/kubernetes-retired/contrib/blob/master/statefulsets/zookeeper/Dockerfile
这就是我尝试安装卷的方式(显然我需要一个初始化容器):
initContainers:
# Changes username for volumes
- name: changes-username
image: busybox
command:
- /bin/sh
- -c
- |
chown -R 1000:1000 /var/lib/zookeeper /etc/zookeeper-conf # <<<<--- this returns
# cannot change ownership, permission denied
# read-only filesystem.
containers:
- name: zookeeper
imagePullPolicy: IfNotPresent
image: my-repo/k8szk:3.4.14
command:
- sh
- -c
- |
zkGenConfig.sh # The script right here requires /var/lib/zookeper to be owned by zookeper user.
# Initially zookeeper user does own it as per the dockerfile above,
# but when mounting the volume, the directory becomes owned by root
# hence the script fails.
volumeMounts:
- name: zk-data
mountPath: /var/lib/zookeeper
- name: zk-log4j-config
mountPath: /etc/zookeeper-conf
我还尝试添加 securityContext:fsGroup: 1000没有任何更改。
Mik*_*ant 10
这可以使用安全上下文进行配置,例如
securityContext:
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
那么你根本不需要 initContainer - Kubernetes 将处理递归 chown 作为准备卷的一部分。
这里的一个问题是链接的 Dockerfile 不包含USER语句,因此 Kubernetes 不知道以正确的用户身份启动 pod - 这runAsUser将解决这个问题。
您尝试的黑客不起作用的原因initContainer是您还尝试更改只读配置目录的所有权。ConfigMap 以只读方式安装,您无法对其进行 chown。(这曾经是不同的,但出于安全原因进行了更改)
| 归档时间: |
|
| 查看次数: |
6328 次 |
| 最近记录: |