网站制作的相关术语,加强网站建设和维护工作,上海做网站好的公司,seo网站优化技术一、kubernetes自定义pod启动用户 一#xff09;以root用户启动pod
containers:- name: ...image: ...securityContext:runAsUser: 0 二#xff09;以普通用户启动pod 1、从构建镜像角度修改
# RUN命令执行创建用户和用户组#xff08;命令创建了一个用户newuser设定ID为1…一、kubernetes自定义pod启动用户 一以root用户启动pod
containers:- name: ...image: ...securityContext:runAsUser: 0 二以普通用户启动pod 1、从构建镜像角度修改
# RUN命令执行创建用户和用户组命令创建了一个用户newuser设定ID为10000并指定了用户登录后使用的主目录和shell
RUN groupadd --gid 10000 newuser \ useradd --home-dir /home/newuser --create-home --uid 10000 --gid 10000 --shell /bin/sh --skel /dev/null newuser# 指定用户从这一行往下开始的每个命令都是以newuser身份而不是root身份运行比如后面的CMD、EntryPoint
USER newuser 2、从容器启动方式角度修改 可以使用Pod安全上下文将Pod的执行限制为特定的非root用户。 通过Pod构建文件中添加securityContext来配置Pod的安全设置
apiVersion: v1
kind: Pod
metadata: name: pod-helloworld
spec: securityContext: runAsNonRoot: truerunAsUser: 10000runAsGroup: 10000fsGroup: 10000 runAsUser指定Pod内的任何容器仅以userID为10000的运行runAsGroup指定的容器内所有进程的组ID组ID不指定默认为0。你可以先进入容器然后使用 ps 命令查看进程的用户。 三以root用户进入pod 1、首先找到你需要进入对应namespace的pod名
kubectl get pod|grep podname 2、找到pod所在的节点以及容器id
kubectl describe pod “pod名”
在所给信息中找到以下字段Node所查pod所在的节点Container ID所查pod的容器id,形如docker://...注意Container ID 不包括docker:// 3、ssh到pod对应节点 4、以root用户权限进入pod
docker exec -it -u root Container ID /bin/bash
