趁热记录下，给未来的自己

问题描述：

在开发过程中，需要将NAS盘挂载到pod里，然后启动脚本/start.sh会启动业务服务，业务服务启动时，会在挂载目录上创建文件和文件夹。

由于安全的原因，启动pod的镜像默认是非root用户，比如user:group。而NAS盘挂载的时候，里面的文件权限是root:root, 见下图。这就带来了一个问题，当pod启动时，容器的用户是user，用user启动/start.sh时，操作挂载目录会报 permission denied 错误。

方案选择

为了解决nas盘挂载到pod时，遇到的permission denied问题，基本思路就是：保证挂载的目录文件权限和容器默认用户的权限保持一致。

有三种方案：

启动pod的容器默认用户改成root:rootnas盘的目录权限先改成user:group, 这样可以和pod容器内的用户保持一致启动pod时，将nas盘挂载到容器内的目录权限修改成user:group

首先，第一种方案在业务侧没有强需求（不能用root作为默认用户）的时候，是最有效快捷的方式，只需要在镜像构建阶段 设置 USERNAME root 即可。但是，我们的业务需求是不允许以root方式运行容器，所以pass。

第二种方案，是先把nas盘挂载到一台主机上，然后去修改对应的目录权限为user:group，这就要求需要在这台主机上新建user:group用户。而且如果遇到了pod容器的默认用户是user1:group1，user2:group2的时候，就要在nas挂载的主机上同步操作，很不优雅。

第三种方案，可以一劳永逸，通过模板化操作，可以实现任意pod默认用户使用nas挂载到容器的目录。

要实现第三种方案，可以利用 spec.template.spec.initContainers 在启动pod的时候，用一个初始化容器，对挂载到pod里的目录初始化目录权限为：user:group。

具体实施

假定一些参数：

容器的默认用户是user:group, uid=10000, gid=10000默认挂载到容器内部的路径：/home/user初始化容器选择centos(或者ubuntu，默认用户是root即可)

具体的yaml配置信息：

...spec:  template:    spec:      containers:      - image: your_image        imagePullPolicy: Always        name: your_container_name        ports:        - containerPort: 6006          protocol: TCP        resources:          limits:            cpu: 500m            memory: 1Gi            nvidia.com/gpu: "1"        terminationMessagePath: /dev/termination-log        terminationMessagePolicy: File        - mountPath: /home/user          name: aide-139741-89991d7d0      initContainers:      - args:        - -c        - chmod 755 /home/user && chown 10000:10000 /home/user        command:        - /bin/sh        image: centos        imagePullPolicy: IfNotPresent        name: initpathauth        resources: {}        terminationMessagePath: /dev/termination-log        terminationMessagePolicy: File        volumeMounts:        - mountPath: /home/user          name: aide-139741-89991d7d0...

经过这样的配置，启动的容器就可以访问挂载的目录了。