前言:
此时兄弟们对“centos7aide”都比较着重,小伙伴们都想要分析一些“centos7aide”的相关知识。那么小编同时在网摘上收集了一些对于“centos7aide””的相关内容,希望姐妹们能喜欢,看官们一起来了解一下吧!趁热记录下,给未来的自己
问题描述:
在开发过程中,需要将NAS盘挂载到pod里,然后启动脚本/start.sh会启动业务服务,业务服务启动时,会在挂载目录上创建文件和文件夹。
由于安全的原因,启动pod的镜像默认是非root用户,比如user:group。而NAS盘挂载的时候,里面的文件权限是root:root, 见下图。这就带来了一个问题,当pod启动时,容器的用户是user,用user启动/start.sh时,操作挂载目录会报 permission denied 错误。
方案选择
为了解决nas盘挂载到pod时,遇到的permission denied问题,基本思路就是:保证挂载的目录文件权限和容器默认用户的权限保持一致。
有三种方案:
启动pod的容器默认用户改成root:rootnas盘的目录权限先改成user:group, 这样可以和pod容器内的用户保持一致启动pod时,将nas盘挂载到容器内的目录权限修改成user:group
首先,第一种方案在业务侧没有强需求(不能用root作为默认用户)的时候,是最有效快捷的方式,只需要在镜像构建阶段 设置 USERNAME root 即可。但是,我们的业务需求是不允许以root方式运行容器,所以pass。
第二种方案,是先把nas盘挂载到一台主机上,然后去修改对应的目录权限为user:group,这就要求需要在这台主机上新建user:group用户。而且如果遇到了pod容器的默认用户是user1:group1,user2:group2的时候,就要在nas挂载的主机上同步操作,很不优雅。
第三种方案,可以一劳永逸,通过模板化操作,可以实现任意pod默认用户使用nas挂载到容器的目录。
要实现第三种方案,可以利用 spec.template.spec.initContainers 在启动pod的时候,用一个初始化容器,对挂载到pod里的目录初始化目录权限为:user:group。
具体实施
假定一些参数:
容器的默认用户是user:group, uid=10000, gid=10000默认挂载到容器内部的路径:/home/user初始化容器选择centos(或者ubuntu,默认用户是root即可)
具体的yaml配置信息:
...spec: template: spec: containers: - image: your_image imagePullPolicy: Always name: your_container_name ports: - containerPort: 6006 protocol: TCP resources: limits: cpu: 500m memory: 1Gi nvidia.com/gpu: "1" terminationMessagePath: /dev/termination-log terminationMessagePolicy: File - mountPath: /home/user name: aide-139741-89991d7d0 initContainers: - args: - -c - chmod 755 /home/user && chown 10000:10000 /home/user command: - /bin/sh image: centos imagePullPolicy: IfNotPresent name: initpathauth resources: {} terminationMessagePath: /dev/termination-log terminationMessagePolicy: File volumeMounts: - mountPath: /home/user name: aide-139741-89991d7d0...
经过这样的配置,启动的容器就可以访问挂载的目录了。
标签: #centos7aide #博客设置权限如何查看