kubernetes - 不允许使用 configMap 卷
问题描述
我正在使用 OKD4,我正在尝试使用 ConfigMap 在我的 pod 中安装 /etc/php.ini。为此,我在我的项目中创建了以下 K8S 对象。
Configmap(之前为 Deployment 创建):
- apiVersion: v1
kind: ConfigMap
data:
php.ini: |-
[PHP]
;;;;;;;;;;;;;;;;;;;
; About php.ini ;
;;;;;;;;;;;;;;;;;;;
metadata:
name: php-ini
部署对象:
- kind: Deployment
apiVersion: apps/v1
metadata:
name: privatebin
labels:
app: privatebin
spec:
replicas: 1
selector:
matchLabels:
app: privatebin
template:
metadata:
creationTimestamp: null
labels:
app: privatebin
deploymentconfig: privatebin
spec:
containers:
- name: privatebin
image: <my container registry>/privatebin:${IMAGE_TAG}
volumeMounts:
- name: config-volume
mountPath: php.ini
livenessProbe:
exec:
command:
- /bin/sh
- -c
- "[ -f /run/nginx.pid ] && ps -C nginx >/dev/null 2>&1 && ps -C php-fpm >/dev/null 2>&1"
initialDelaySeconds: 10
periodSeconds: 5
readinessProbe:
httpGet:
scheme: HTTP
path: /
port: 8080
initialDelaySeconds: 10
periodSeconds: 5
ports:
- containerPort: 8080
protocol: TCP
resources:
limits:
cpu: "250m" # parameterize in tekton pipeline
memory: "368Mi" # parameterize in tekton pipeline, maybe using template
requests:
cpu: "100m" # parameterize in tekton pipeline, maybe using template
memory: "256Mi" # parameterize in tekton pipeline, maybe using template
securityContext:
runAsUser: 1000
fsGroup: 1000
fsGroupChangePolicy: "OnRootMismatch"
imagePullPolicy: Always
restartPolicy: Always
terminationGracePeriodSeconds: 30
volumes:
- name: config-volume
configMap:
name: php-ini
strategy:
type: RollingUpdate
rollingUpdate:
maxUnavailable: 25%
maxSurge: 25%
由于某种原因,我的 pod 丢失了,并且出现以下错误:
- lastTransitionTime:“2021-10-08T12:53:01Z” lastUpdateTime:“2021-10-08T12:53:01Z”消息:'pods“privatebin-55678c66c5-”被禁止:无法验证任何安全上下文约束:[规范.containers[0].securityContext.runAsUser:无效值:1000:必须在范围内:[1002460000, 1002469999] spec.volumes[0]:无效值:“configMap”:不允许使用 configMap 卷]'
ReplicaSet 也超时并出现类似错误:状态:条件:
- lastTransitionTime:“2021-10-08T12:53:01Z”消息:'pods“privatebin-55678c66c5-”被禁止:无法验证任何安全上下文约束:[spec.containers[0].securityContext.runAsUser:无效值: 1000:必须在范围内:[1002460000, 1002469999] spec.volumes[0]:无效值:“configMap”:不允许使用 configMap 卷]'
为什么我无法挂载 ConfigMap?是因为部署中的安全上下文吗?
提前致谢,
解决方案
(该错误与 configmaps 无关,但是当您解决错误后,您可能需要稍微调整您的 configmap 以准确地将文件放入您希望它登陆的目录中。)
OKD 是 OpenShift,所以它使用 SCC(不是 PSP)。
默认情况下,您可以访问命名空间中的“受限” SCC。错误中抛出的 UID 来自命名空间注释(oc get namespace FOO -o yaml)将显示它们。
修理:
- 您可以更改 runAsUser 以匹配命名空间注释;或者(更好)只使用“runAsNonRoot:true”,这会强制它不以 root 身份运行并采用该注释范围内的第一个 uid。您可能需要更新容器映像以利用 GROUP 成员资格而不是 uid 来获得文件访问权限。
- 您可以允许您的帐户使用“非root” SCC 作为任何 uid 运行,以满足您以 uid=1000 运行的期望。我建议您将第一个选项视为更可取的选项。
推荐阅读
- python - 以“黑色风格”漂亮地打印 Python 字典/列表
- android - Android TV:未找到处理意图 Settings.ACTION_MANAGE_ALL_FILES_ACCESS_PERMISSION 的活动
- nsis - 在 NSIS 中,如何使用用户变量重命名或复制文件?
- android - AuthUI:任务标记为成功,但未创建用户
- java - Firebase Rest Api 从我的模型类中读取数据返回 null
- node.js - Firebase 管理员 SDK 数据库更新返回未定义
- ios - 处理标签栏控制器视图按钮和代码
- python - 如何从 Class MainWindow 获取变量到 Class Mythread
- c++ - 在 MSVC 上的 c++17 中按索引迭代元组?
- vue.js - bootstrap-vue 表格可拖动