K8S为 Pod 或容器配置安全性上下文securityContext,解决Docker容器限制文件句柄数的问题


一、问题

我需要在容器里面把最大文件句柄数设置为204800,但发现被拒绝。这是Docker自身安全机制导致的

浅谈Docker安全性支持

在这里插入图片描述

二、解决方法

方法一:简单粗暴

设置容器为特权模式即可,但安全性不高

在yaml文件添加如下两行

securityContext:
      privileged: true

在这里插入图片描述

kubectl apply -f pod-01.yaml			#发现有如下报错

在这里插入图片描述
需要把之前的Pod删除,再执行kubectl apply

kubectl delete -f pod-01.yaml
kubectl apply -f pod-01.yaml

在这里插入图片描述
这次不报错了,进入到容器里面

kubectl exec -it pod-01 bash
ulimit -n 204800

设置成功
在这里插入图片描述

方法二:温柔可佳

为容器添加capabilities中的CAP_SYS_RESOURCE能力,安全性高
在这里插入图片描述

Capability能力介绍点这里

securityContext:
      capabilities:
        add: ["SYS_RESOURCE"]

在这里插入图片描述

©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页