容器中的 Kubernetes 权限被拒绝
Kubernetes Permission denied in container
我的公司购买了我们试图在 IBM 云上部署的软件,使用 kubernetes 并给定私有 docker 存储库。部署后,总是会出现 Kubernetes 错误:“Back-off restarting failed container”。所以我阅读了日志以了解容器重新启动的原因,这是错误:
Caused by: java.io.FileNotFoundException: /var/yseop-log/yseop-manager.log (Permission denied)
所以我推断我只需要更改 Kubernetes 文件中的权限。由于我使用的是部署,因此我尝试了以下 initContainer :
initContainers:
- name: permission-fix
image: busybox
command: ['sh', '-c']
args: ['chmod -R 777 /var']
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
这没有用,因为不允许我以非 root 用户身份对只读文件夹执行 chmod。
所以我尝试重新安装这些卷,但也失败了,因为我不是 root 用户。
然后我发现 运行ning 作为用户和组。为了找出我必须在安全上下文中写入的用户和组,我阅读了 docker 文件,这是用户和组:
USER 1001:0
所以我想我可以在我的部署文件中写这个:
securityContext:
runAsUser: 1001
rusAsGroup: 0
显然,这也没有用,因为我不允许 运行 作为组 0
所以我仍然不知道如何才能正确部署此映像。在 m 计算机上执行 docker 拉取和执行时,图像可以正常工作,但在 Kubernetes 上无法正常工作。
这是我的完整卷文件:
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
annotations:
ibm.io/auto-create-bucket: "true"
ibm.io/auto-delete-bucket: "false"
ibm.io/bucket: ""
ibm.io/secret-name: "cos-write-access"
ibm.io/endpoint: https://s3.eu-de.cloud-object-storage.appdomain.cloud
name: yseop-pvc
namespace: ns
labels:
app: yseop-pvc
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 10Gi
storageClassName: ibmc
volumeMode: Filesystem
这是我的完整部署文件:
apiVersion: apps/v1
kind: Deployment
metadata:
name: yseop-manager
namespace: ns
spec:
selector:
matchLabels:
app: yseop-manager
template:
metadata:
labels:
app: yseop-manager
spec:
securityContext:
runAsUser: 1001
rusAsGroup: 0
initContainers:
- name: permission-fix
image: busybox
command: ['sh', '-c']
args: ['chmod -R 777 /var']
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
containers:
- name: yseop-manager
image:IMAGE
imagePullPolicy: IfNotPresent
env:
- name: SECURITY_USERS_DEFAULT_ENABLED
value: "true"
ports:
- containerPort: 8080
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
imagePullSecrets:
- name: regcred
volumes:
- name: yseop-data
persistentVolumeClaim:
claimName: yseop-pvc
感谢您的帮助
您能否尝试在安全上下文中包含补充组 ID,例如
SecurityContext:
runAsUser: 1001
fsGroup: 2000
默认情况下 runAsGroup 为 0,即 root。 link 以下可能会对此提供更多见解。
https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
工作 Yaml 内容
apiVersion: apps/v1
kind: Deployment
metadata:
name: yseop-manager
namespace: ns
spec:
selector:
matchLabels:
app: yseop-manager
template:
metadata:
labels:
app: yseop-manager
spec:
securityContext:
fsGroup: 2000
initContainers:
- name: permission-fix
image: busybox
command: ['sh', '-c']
args: ['chown -R root:2000 /var']
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
containers:
- name: yseop-manager
image:IMAGE
imagePullPolicy: IfNotPresent
securityContext:
runAsUser: 1001
runAsGroup: 2000
env:
- name: SECURITY_USERS_DEFAULT_ENABLED
value: "true"
ports:
- containerPort: 8080
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
imagePullSecrets:
- name: regcred
volumes:
- name: yseop-data
persistentVolumeClaim:
claimName: yseop-pvc
我的公司并没有告诉我我们确实有限制性的 Pod 安全策略。因此,卷是 Read-only,我不可能在这些卷中写任何东西。
解决方法如下:
volumes:
- name: yseop-data
emptyDir: {}
然后,我必须在 volumeMounts 中指定一个路径(这已经完成)并创建一个 PVC,这样我的数据就会持久化。
我的公司购买了我们试图在 IBM 云上部署的软件,使用 kubernetes 并给定私有 docker 存储库。部署后,总是会出现 Kubernetes 错误:“Back-off restarting failed container”。所以我阅读了日志以了解容器重新启动的原因,这是错误:
Caused by: java.io.FileNotFoundException: /var/yseop-log/yseop-manager.log (Permission denied)
所以我推断我只需要更改 Kubernetes 文件中的权限。由于我使用的是部署,因此我尝试了以下 initContainer :
initContainers:
- name: permission-fix
image: busybox
command: ['sh', '-c']
args: ['chmod -R 777 /var']
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
这没有用,因为不允许我以非 root 用户身份对只读文件夹执行 chmod。
所以我尝试重新安装这些卷,但也失败了,因为我不是 root 用户。
然后我发现 运行ning 作为用户和组。为了找出我必须在安全上下文中写入的用户和组,我阅读了 docker 文件,这是用户和组:
USER 1001:0
所以我想我可以在我的部署文件中写这个:
securityContext:
runAsUser: 1001
rusAsGroup: 0
显然,这也没有用,因为我不允许 运行 作为组 0
所以我仍然不知道如何才能正确部署此映像。在 m 计算机上执行 docker 拉取和执行时,图像可以正常工作,但在 Kubernetes 上无法正常工作。
这是我的完整卷文件:
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
annotations:
ibm.io/auto-create-bucket: "true"
ibm.io/auto-delete-bucket: "false"
ibm.io/bucket: ""
ibm.io/secret-name: "cos-write-access"
ibm.io/endpoint: https://s3.eu-de.cloud-object-storage.appdomain.cloud
name: yseop-pvc
namespace: ns
labels:
app: yseop-pvc
spec:
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 10Gi
storageClassName: ibmc
volumeMode: Filesystem
这是我的完整部署文件:
apiVersion: apps/v1
kind: Deployment
metadata:
name: yseop-manager
namespace: ns
spec:
selector:
matchLabels:
app: yseop-manager
template:
metadata:
labels:
app: yseop-manager
spec:
securityContext:
runAsUser: 1001
rusAsGroup: 0
initContainers:
- name: permission-fix
image: busybox
command: ['sh', '-c']
args: ['chmod -R 777 /var']
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
containers:
- name: yseop-manager
image:IMAGE
imagePullPolicy: IfNotPresent
env:
- name: SECURITY_USERS_DEFAULT_ENABLED
value: "true"
ports:
- containerPort: 8080
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
imagePullSecrets:
- name: regcred
volumes:
- name: yseop-data
persistentVolumeClaim:
claimName: yseop-pvc
感谢您的帮助
您能否尝试在安全上下文中包含补充组 ID,例如
SecurityContext:
runAsUser: 1001
fsGroup: 2000
默认情况下 runAsGroup 为 0,即 root。 link 以下可能会对此提供更多见解。 https://kubernetes.io/docs/tasks/configure-pod-container/security-context/
工作 Yaml 内容
apiVersion: apps/v1
kind: Deployment
metadata:
name: yseop-manager
namespace: ns
spec:
selector:
matchLabels:
app: yseop-manager
template:
metadata:
labels:
app: yseop-manager
spec:
securityContext:
fsGroup: 2000
initContainers:
- name: permission-fix
image: busybox
command: ['sh', '-c']
args: ['chown -R root:2000 /var']
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
containers:
- name: yseop-manager
image:IMAGE
imagePullPolicy: IfNotPresent
securityContext:
runAsUser: 1001
runAsGroup: 2000
env:
- name: SECURITY_USERS_DEFAULT_ENABLED
value: "true"
ports:
- containerPort: 8080
volumeMounts:
- mountPath: /var/yseop-engine
name: yseop-data
- mountPath: /var/yseop-data/yseop-manager
name: yseop-data
- mountPath: /var/yseop-log
name: yseop-data
imagePullSecrets:
- name: regcred
volumes:
- name: yseop-data
persistentVolumeClaim:
claimName: yseop-pvc
我的公司并没有告诉我我们确实有限制性的 Pod 安全策略。因此,卷是 Read-only,我不可能在这些卷中写任何东西。
解决方法如下:
volumes:
- name: yseop-data
emptyDir: {}
然后,我必须在 volumeMounts 中指定一个路径(这已经完成)并创建一个 PVC,这样我的数据就会持久化。