我正在尝试在具有只读文件系统的容器中托管一个网络应用程序。每当我尝试通过容器将根文件系统配置为只读时,SecurityContext我都会收到以下错误:
Ports: 80/TCP, 443/TCP
Host Ports: 0/TCP, 0/TCP
State: Terminated
Reason: Error
Exit Code: 137
Started: Thu, 23 Sep 2021 18:13:08 +0300
Finished: Thu, 23 Sep 2021 18:13:08 +0300
Ready: False
我尝试使用 AppArmor 配置文件来实现相同的目标,如下所示:
profile parser-profile flags=(attach_disconnected) {
#include <abstractions/base>
...
deny /** wl,
...
不幸的是结果是一样的。
我认为发生的情况是容器无法保存 Web 应用程序的文件并且失败。
在我的场景中,我将运行不受信任的代码,并且必须确保不允许用户访问文件系统。
关于我做错了什么以及如何实现只读文件系统有什么想法吗?
我正在使用 AKS,下面是我的部署配置:
apiVersion: v1
kind: Service
metadata:
name: parser-service
spec:
selector:
app: parser
ports:
- port: 80
targetPort: 80
protocol: TCP
name: http
- port: 443
targetPort: …