如何在 kubernetes 清单文件中挂载 nosuid 卷
How to mount as nosuid a volume in kubernetes manifest file
我正在使用 docker 服务和 kubernetes 进行容器编排。
我想使用 nosuid 选项从主机挂载所有卷。
Emptydir 卷也可以在没有 suid 的情况下存在。唯一的问题是 kubernetes 是否支持指定这样的挂载选项,或者是否可以通过其他方式处理它们。
findmnt
TARGET SOURCE FSTYPE OPTIONS
/ /dev/vda1 ext4 rw,noatime,seclabel,data=ordered
├─/sys sysfs sysfs rw,relatime,seclabel
│ ├─/sys/kernel/security securityfs securityfs rw,nosuid,nodev,noexec,relatime
│ ├─/sys/fs/cgroup tmpfs tmpfs ro,nosuid,nodev,noexec,seclabel,mode=755
│ │ ├─/sys/fs/cgroup/systemd cgroup cgroup rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/sy
...
├─/var/lib/kubelet/pods/05f79fe8-3fab-11e7-8c7b-d00d8969ec73/volumes/kubernetes.io~secret/default-token-lnpbh tmpfs tmpfs rw,relatime,seclabel
├─/var/lib/kubelet/pods/0911e563-3fab-11e7-8c7b-d00d8969ec73/volumes/kubernetes.io~secret/default-token-lnpbh tmpfs tmpfs rw,relatime,seclabel
├─/var/lib/kubelet/pods/b550adbd-3fbf-11e7-8c7b-d00d8969ec73/volumes/kubernetes.io~empty-dir/data tmpfs tmpfs rw,relatime,seclabel
来自 kubernetes 的相关问题:https://github.com/kubernetes/kubernetes/issues/48912
如您所述,EmptyDir 卷可以在没有 suid 的情况下存在是正确的,但截至目前,无法在 Kubernetes 卷清单中提及 nosuid 种挂载选项.
我正在使用 docker 服务和 kubernetes 进行容器编排。
我想使用 nosuid 选项从主机挂载所有卷。
Emptydir 卷也可以在没有 suid 的情况下存在。唯一的问题是 kubernetes 是否支持指定这样的挂载选项,或者是否可以通过其他方式处理它们。
findmnt
TARGET SOURCE FSTYPE OPTIONS
/ /dev/vda1 ext4 rw,noatime,seclabel,data=ordered
├─/sys sysfs sysfs rw,relatime,seclabel
│ ├─/sys/kernel/security securityfs securityfs rw,nosuid,nodev,noexec,relatime
│ ├─/sys/fs/cgroup tmpfs tmpfs ro,nosuid,nodev,noexec,seclabel,mode=755
│ │ ├─/sys/fs/cgroup/systemd cgroup cgroup rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/sy
...
├─/var/lib/kubelet/pods/05f79fe8-3fab-11e7-8c7b-d00d8969ec73/volumes/kubernetes.io~secret/default-token-lnpbh tmpfs tmpfs rw,relatime,seclabel
├─/var/lib/kubelet/pods/0911e563-3fab-11e7-8c7b-d00d8969ec73/volumes/kubernetes.io~secret/default-token-lnpbh tmpfs tmpfs rw,relatime,seclabel
├─/var/lib/kubelet/pods/b550adbd-3fbf-11e7-8c7b-d00d8969ec73/volumes/kubernetes.io~empty-dir/data tmpfs tmpfs rw,relatime,seclabel
来自 kubernetes 的相关问题:https://github.com/kubernetes/kubernetes/issues/48912
如您所述,EmptyDir 卷可以在没有 suid 的情况下存在是正确的,但截至目前,无法在 Kubernetes 卷清单中提及 nosuid 种挂载选项.