Kubernetes 使用init容器更改PV上的权限时权限被拒绝
我正在尝试在OpenShift上运行部署配置。我的部署配置的一部分运行一个init容器,该容器使用chown在持久卷上设置权限。当init容器启动时,它失败,日志打印出“权限被拒绝” 这是我的init容器:Kubernetes 使用init容器更改PV上的权限时权限被拒绝,kubernetes,openshift,Kubernetes,Openshift,我正在尝试在OpenShift上运行部署配置。我的部署配置的一部分运行一个init容器,该容器使用chown在持久卷上设置权限。当init容器启动时,它失败,日志打印出“权限被拒绝” 这是我的init容器: - apiVersion: v1 kind: DeploymentConfig metadata: name: ${NAME}-primary namespace: ${NAMESPACE} spec: repli
- apiVersion: v1
kind: DeploymentConfig
metadata:
name: ${NAME}-primary
namespace: ${NAMESPACE}
spec:
replicas: 1
strategy:
type: Recreate
template:
metadata:
labels:
name: ${NAME}-primary
test-app: ${NAME}
spec:
serviceAccountName: ${SERVICE_ACCOUNT}
initContainers:
- name: set-volume-ownership
image: alpine:3.6
command: ["sh", "-c", "chown -R 1030:1030 /var/opt"]
volumeMounts:
- name: test-app-data
mountPath: /var/opt
因此,我知道OpenShift默认情况下以随机UID的形式运行pod。我知道我可以将部署配置中的服务帐户添加到scc anyuid中,这将起作用,但我不想这样做,因为这是一个安全问题,我的群集管理员不允许这样做。我怎样才能避开这件事?我一直在阅读有关金融服务集团的文章,但对我来说,这些文章毫无意义。有什么意见吗?OpenShift文档在本节中对此进行了一些讨论 问题是您的init容器正在运行的用户没有该目录的写入权限
/var/optidfind $SYMLINK_OPT "$1" ${CHECK_OWNER} \! -gid 0 -exec chgrp 0 {} +
find $SYMLINK_OPT "$1" ${CHECK_OWNER} \! -perm -g+rw -exec chmod g+rw {} +
find $SYMLINK_OPT "$1" ${CHECK_OWNER} -perm /u+x -a \! -perm /g+x -exec chmod g+x {} +
find $SYMLINK_OPT "$1" ${CHECK_OWNER} -type d \! -perm /g+x -exec chmod g+x {} +