Fatal编程技术网
  • deployment/
  • Deployment Openshift-将RunOnlyAs SCC应用于部署中的POD

Deployment Openshift-将RunOnlyAs SCC应用于部署中的POD

deployment kubernetes openshift

Deployment Openshift-将RunOnlyAs SCC应用于部署中的POD,deployment,kubernetes,openshift,Deployment,Kubernetes,Openshift,我定义了一个SCC,它允许开发人员用户以UID1015的形式运行容器: kind: SecurityContextConstraints apiVersion: v1 metadata: name: developer allowPrivilegedContainer: false runAsUser: type: MustRunAs uid: 1015 seLinuxContext: type:

我定义了一个SCC,它允许
开发人员
用户以UID
1015
的形式运行容器:

    kind: SecurityContextConstraints
    apiVersion: v1
    metadata:
      name: developer
    allowPrivilegedContainer: false
    runAsUser:
      type: MustRunAs
      uid: 1015
    seLinuxContext: 
      type: MustRunAs
      uid: 1015
    users:
    - developer
当我直接作为
开发人员
用户创建pod时,此SCC工作正常:

    apiVersion: v1
    kind: Pod
    metadata:
      name: test-1-0
    spec:
      securityContext:
        runAsUser: 1015
      containers:
      - name: test-1-0
        image: test-image:1.0
        imagePullPolicy: "Always"
        volumeMounts:
        - name: secret-dir
          mountPath: "/secrets"
          readOnly: true
      volumes:
      - name: secret-dir
        secret:
          secretName: test-1.0-configs
但是,当我将其转换为部署时,会出现一个错误。这是我的YAML:

kind: "DeploymentConfig"
apiVersion: "v1"
metadata:
  name: "test-1-0"
spec:
  template: 
    metadata:
      labels:
        name: "test-1-0"
    spec:
      securityContext:
        runAsUser: 1015
      containers:
      - name: test-1-0
        image: test-image:1.0
        imagePullPolicy: "Always"
        volumeMounts:
        - name: secret-dir
          mountPath: "/secrets"
          readOnly: true
      volumes:
      - name: secret-dir
        secret:
          secretName: test-1.0-configs
  replicas: 2
  selector:
    name: "test-1-0"
我收到的错误是:

Error creating: pods "test-1-0-1-" is forbidden: unable to validate against any security context constraint: [securityContext.runAsUser: Invalid value: 1015: UID on container test-1-0 does not match required range. Found 1015, required min: 1000050000 max: 1000059999]
这就好像部署是在部署pod,而不是我创建部署时使用的用户。有什么方法可以解决这个问题吗?

最好通过服务帐户指定部署使用什么SCC

首先创建SCC。以我测试的内容为例,我创建了
uid1000.json
包含

{
    "apiVersion": "v1",
    "kind": "SecurityContextConstraints",
    "metadata": {
        "name": "uid1000"
    },
    "requiredDropCapabilities": [
        "KILL",
        "MKNOD",
        "SYS_CHROOT",
        "SETUID",
        "SETGID"
    ],
    "runAsUser": {
        "type": "MustRunAs",
        "uid": "1000"
    },
    "seLinuxContext": {
        "type": "MustRunAs"
    },
    "fsGroup": {
        "type": "MustRunAs"
    },
    "supplementalGroups": {
        "type": "RunAsAny"
    },
    "volumes": [
        "configMap",
        "downwardAPI",
        "emptyDir",
        "persistentVolumeClaim",
        "projected",
        "secret"
    ]
}
然后跑:

oc create -f uid1000.json --as system:admin
需要是管理员才能做到这一点

接下来,我在目标项目中创建了一个服务帐户,用于运行需要此SCC的应用程序

oc create serviceaccount runasuid1000
我现在说,作为这个服务帐户运行的任何东西都应该使用新的SCC

oc adm policy add-scc-to-user uid1000 -z runasuid1000 --as system:admin
再次需要是管理员这样做。
-z
选项意味着使用当前项目,因此请确保选择正确的项目

最后,我修补了现有的部署配置

oc patch dc/minimal-notebook --patch '{"spec":{"template":{"spec":{"serviceAccountName": "runasuid1000"}}}}'
如有必要,由于配置更改触发器被禁用,请触发新部署:

oc rollout latest minimal-notebook
这将强制容器以uid 1000的形式运行,覆盖映像甚至说它应该根据
用户定义运行的内容。
您已经尝试过了吗?:+通过SSH或$docker exec-i-t origin/bin/bash su-oc edit scc restricted登录到OpenShift主机#将runAsUser.Type策略更改为RunAsAny@FrancoRondini你应该避免编辑原文
restricted
SCC,因为您正在更改许多东西所依赖的默认值。SCC的原因是允许您创建不同的权限集,并有选择地将其应用于特定的服务帐户。覆盖系统提供的默认值总是一个坏主意。这并不重要,但scc.seLinuxContext.uid不是一个有效字段。@GrahamDumpleton说得对!我写的东西是在一些教程/git repo的介绍示例中提出的,但是您的澄清非常有用。顺便说一句,我也打开了你的评论,如果你能抽出时间完整回答,我将不胜感激。再次感谢。如果在另一个问题中,您在没有明确引用配置文件的情况下运行命令时遇到问题,那么我可以提供帮助。通常,您不需要关心主配置文件。如果您真的想了解它们的用途,最好阅读一下OpenShift文档,因为除了它们规定集群的全局配置之外,没有简单的答案。