Deployment Openshift-将RunOnlyAs SCC应用于部署中的POD
我定义了一个SCC,它允许Deployment Openshift-将RunOnlyAs SCC应用于部署中的POD,deployment,kubernetes,openshift,Deployment,Kubernetes,Openshift,我定义了一个SCC,它允许开发人员用户以UID1015的形式运行容器: kind: SecurityContextConstraints apiVersion: v1 metadata: name: developer allowPrivilegedContainer: false runAsUser: type: MustRunAs uid: 1015 seLinuxContext: type:
开发人员
用户以UID1015
的形式运行容器:
kind: SecurityContextConstraints
apiVersion: v1
metadata:
name: developer
allowPrivilegedContainer: false
runAsUser:
type: MustRunAs
uid: 1015
seLinuxContext:
type: MustRunAs
uid: 1015
users:
- developer
当我直接作为开发人员
用户创建pod时,此SCC工作正常:
apiVersion: v1
kind: Pod
metadata:
name: test-1-0
spec:
securityContext:
runAsUser: 1015
containers:
- name: test-1-0
image: test-image:1.0
imagePullPolicy: "Always"
volumeMounts:
- name: secret-dir
mountPath: "/secrets"
readOnly: true
volumes:
- name: secret-dir
secret:
secretName: test-1.0-configs
但是,当我将其转换为部署时,会出现一个错误。这是我的YAML:
kind: "DeploymentConfig"
apiVersion: "v1"
metadata:
name: "test-1-0"
spec:
template:
metadata:
labels:
name: "test-1-0"
spec:
securityContext:
runAsUser: 1015
containers:
- name: test-1-0
image: test-image:1.0
imagePullPolicy: "Always"
volumeMounts:
- name: secret-dir
mountPath: "/secrets"
readOnly: true
volumes:
- name: secret-dir
secret:
secretName: test-1.0-configs
replicas: 2
selector:
name: "test-1-0"
我收到的错误是:
Error creating: pods "test-1-0-1-" is forbidden: unable to validate against any security context constraint: [securityContext.runAsUser: Invalid value: 1015: UID on container test-1-0 does not match required range. Found 1015, required min: 1000050000 max: 1000059999]
这就好像部署是在部署pod,而不是我创建部署时使用的用户。有什么方法可以解决这个问题吗?最好通过服务帐户指定部署使用什么SCC 首先创建SCC。以我测试的内容为例,我创建了
uid1000.json
包含
{
"apiVersion": "v1",
"kind": "SecurityContextConstraints",
"metadata": {
"name": "uid1000"
},
"requiredDropCapabilities": [
"KILL",
"MKNOD",
"SYS_CHROOT",
"SETUID",
"SETGID"
],
"runAsUser": {
"type": "MustRunAs",
"uid": "1000"
},
"seLinuxContext": {
"type": "MustRunAs"
},
"fsGroup": {
"type": "MustRunAs"
},
"supplementalGroups": {
"type": "RunAsAny"
},
"volumes": [
"configMap",
"downwardAPI",
"emptyDir",
"persistentVolumeClaim",
"projected",
"secret"
]
}
然后跑:
oc create -f uid1000.json --as system:admin
需要是管理员才能做到这一点
接下来,我在目标项目中创建了一个服务帐户,用于运行需要此SCC的应用程序
oc create serviceaccount runasuid1000
我现在说,作为这个服务帐户运行的任何东西都应该使用新的SCC
oc adm policy add-scc-to-user uid1000 -z runasuid1000 --as system:admin
再次需要是管理员这样做。-z
选项意味着使用当前项目,因此请确保选择正确的项目
最后,我修补了现有的部署配置
oc patch dc/minimal-notebook --patch '{"spec":{"template":{"spec":{"serviceAccountName": "runasuid1000"}}}}'
如有必要,由于配置更改触发器被禁用,请触发新部署:
oc rollout latest minimal-notebook
这将强制容器以uid 1000的形式运行,覆盖映像甚至说它应该根据
用户定义运行的内容。您已经尝试过了吗?:+通过SSH或$docker exec-i-t origin/bin/bash su-oc edit scc restricted登录到OpenShift主机#将runAsUser.Type策略更改为RunAsAny@FrancoRondini你应该避免编辑原文restricted
SCC,因为您正在更改许多东西所依赖的默认值。SCC的原因是允许您创建不同的权限集,并有选择地将其应用于特定的服务帐户。覆盖系统提供的默认值总是一个坏主意。这并不重要,但scc.seLinuxContext.uid不是一个有效字段。@GrahamDumpleton说得对!我写的东西是在一些教程/git repo的介绍示例中提出的,但是您的澄清非常有用。顺便说一句,我也打开了你的评论,如果你能抽出时间完整回答,我将不胜感激。再次感谢。如果在另一个问题中,您在没有明确引用配置文件的情况下运行命令时遇到问题,那么我可以提供帮助。通常,您不需要关心主配置文件。如果您真的想了解它们的用途,最好阅读一下OpenShift文档,因为除了它们规定集群的全局配置之外,没有简单的答案。