【容器】K8S|Podman|容器技术总目录|问题记录

最新推荐文章于 2024-09-11 19:05:54 发布
最新推荐文章于 2024-09-11 19:05:54 发布
阅读量658 收藏 1
点赞数
分类专栏: 管理|文档 测试 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bandaoyu/article/details/128058761
版权
博客详细记录了一位开发者在Kubernetes(K8S)环境中遇到的Pod无法访问挂载目录权限问题。问题表现为容器内的MySQL服务因权限受限无法启动。通过排查,发现K8S在创建Pod时,默认使用root权限设置挂载目录,导致容器内部用户无权访问。解决方案是通过添加Init Container,以0权限运行,调整目录权限和所有权。修复后的配置示例给出,展示了如何正确设置权限以确保容器正常运行。
摘要由CSDN通过智能技术生成

总目录

【容器】Podman和常用命令_https://blog.csdn.net/bandaoyu/article/details/128026904

【K8S】kubectl常用命令总结|crictl管理命令_https://blog.csdn.net/bandaoyu/article/details/126394201

 

问题记录

k8s中pod目录访问权限不足

(摘自:https://blog.csdn.net/kylezhou1992/article/details/125452190)

相关背景
在调试mysql-operator和mysql,在部署mysql的过程中,一直出现,mysqld: File ‘/var/lib/mysql-bin.index’ permission deined或者报错Can’t find error-message file ‘/usr/local/mysql/errmsg.sys’
cluster.yaml

apiVersion: mysql.presslabs.org/v1alpha1
kind: MysqlCluster
metadata:
  name: my-cluster
spec:
  replicas: 2
  secretName: my-secret
  volumeSpec:
    hostPath:
      path: /data/mysql
      type: DirectoryOrCreate
  mysqlConf:
    innodb-buffer-pool-size: 1Gi

通过kubectl describe pod podname查看到pod是卡在了mysql-init-log或mysql容器启动过程中。
通过kubectl logs podname -c containername查看到容器的报错都为无法读写容器内/var/lib/mysql目录,而导致容器执行异常退出,而且镜像都在percona镜像。
服务器/data/mysql挂载了容器中的/var/lib/mysql。

思路

  • 判断是服务器上的/data/mysql权限配置不对,导致容器挂载后无权限。容器的默认用户为mysql,uid为999,gid为999。通过将/data/mysql权限设置为777,以及将目录用户和组设置为999:999,问题依旧存在。分析有误。
  • 通过手动模拟容器挂载,复现该问题,判断是否为容器启动时候的权限问题。
  • docker run -v /data/mysql:/var/lib/mysql -it percona bash,进入容器后,/var/lib/mysql目录用户就为999,可以访问并读写文件,无问题。分析有误。
  • 通过改变挂载目录/data/mysql变为/data,很奇怪,可以通过init-container,但是无法执行mysql的逻辑。问题依旧存在。
  • 可能是k8s启动有问题,通过模拟mysql容器化启动逻辑,启动后进入pod,判断问题能否复现。
  • 执行kubectl apply -f pod.yaml,让容器一直在sleep中,并进入容器kubectl exec -it podname – bash,发现/var/lib/mysql的目录用户和组都为root,则确认问题。k8s启动pod和docker启动容器的逻辑不同,k8s会默认使用root来创建设置挂载目录,而docker是使用宿主机上的目录的用户和组。

相关代码:
 

apiVersion: v1
kind: Pod
metadata:
  name: mytest
spec:
  containers:
    - name: percona
      image: percona
      volumeMounts:
        - mountPath: /var/lib/mysql
          name: mysql
      imagePullPolicy: IfNotPresent
      command:
        - /usr/bin/bash
        - -c
        - sleep 200000000
  volumes:
    - name: mysql
      hostPath:
        path: /data/mysql

修复

apiVersion: mysql.presslabs.org/v1alpha1
kind: MysqlCluster
metadata:
  name: my-cluster
spec:
  replicas: 2
  secretName: my-secret
  volumeSpec:
    hostPath:
      path: /data/mysql
      type: DirectoryOrCreate
  mysqlConf:
    innodb-buffer-pool-size: 1Gi
  podSpec:
    initContainers:
      - name: volume-permissions
        image: busybox
        securityContext:
          runAsUser: 0
        command:
          - sh
          - -c
          - chmod 750 /datea/mysqlk; chown 999:999 /data/mysql
        volumeMounts:
          - name: data
            mountPath: /data/mysql

通信失败

rdma 无法访问设备描述符的目录

bandaoyu
关注
专栏目录
K8s(十六):k8s集群修改默认容器运行时从 Docker 改为 Containerd
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-10 1万+
🔴 K8s(十六):k8s集群修改默认容器运行时从 Docker 改为 Containerd
k8s+crio+podman搭建集群
「 虚幻私塾」
07-14 3677
在传统的k8s集群中,我们都是使用docker engine做为底层的容器管理软件的,而docker engine因为不是k8s亲生的解决方案,所以实际使用中会有更多的分层。之前我们也讲过,k8s为了调用docker engine,专门写了一个dockershim做为CRI,而在1.20版本的时候,k8s就宣布停止更新dockershim了,也就是说再往后的版本就不推荐使用k8s+dockershim+docker engine的方案了。而k8s官方比较推荐的解决方案中,官方比较推荐的是cri-o或者con
k8spod目录访问权限不足
kylezhou1992的博客
06-24 8269
分析pod面权限目录挂载权限的问题
2024年9月11日(k8s环境配置)
最新发布
weixin_70751333的博客
09-11 1313
systemctl status containerd #都要是启动状态。
基于Centos7安装k8s集群(k8s+crio+podman)
justlpf的专栏
02-24 1623
一、前言dockershimCRIcri-ocontainerd二、CRI-O, Containerd, Docker daemon 对比cri三者区别如图:三、k8s+crio+podman实现3.1 podman安装三台机都需要安装podman3.2 k8s的安装参考:三台机都需要安装kubeletkubeadmkubectl,并启动kubelet3.2 cri-o的安装3.2.1 Ubuntu(18.04)安装。
k8spod中操作文件权限不够怎么办
weixin_42605397的博客
02-15 1706
如果您在 Kubernetes(k8s)Pod 中的操作权限不足,您可以尝试以下解决方法: 使用 kubectl exec 命令以 root 用户身份进入 Pod 中,例如: kubectl exec -it <pod-name> -- /bin/bash ...
Pod中执行目录操作,提示Permission denied
lovely_nn的博客
04-21 2314
问题:进入Pod执行创建文件的操作,出现如下报错 $ kubectl exec -it jenkins-5b688ddcc7-h72f2 -n cicd bash $ touch test touch: cannot touch 'test': Permission denied 解决:因为这里通过K8S exec进入Pod的用户是普通用户,而修改文件我们需要root权限,K8S exec命令目前没有找到指定用户的相关参数,但是Docker的exec命令可以通过-u指定root用户,那么可以通过docke
容器技术-K8S核心概念.pptx
11-24
容器技术-K8S核心概念 容器技术是当前IT行业的热点话题之一,KubernetesK8S)是容器orchestration平台中最流行的解决方案。K8S核心概念是容器技术中非常重要的一部分,本文将对K8S核心概念进行详细的讲解。 ...
容器编排k8s培训视频.zip
12-10
47docker数据卷小结官方htpd镜像运行容器mp4 48docker跑mariadb或mysql应用mp4 49 docker跑应用补充与小结,mp4 50 ockerfile个绍参数讲解1mp4 51 ockerfile参数讲解2mp4 52ockerfile构建httpd镜像,mp4 53...
K8S及镜像容器安全架构设计
10-17
* 使用容器运行时扫描(如 Falco)来扫描容器中的安全漏洞。 * 使用 OS 最小化安装,减少被攻击的可能性。 * 及时更新系统内核和补丁。 安全检测 安全检测是指发现和响应 Kubernetes 集群中的安全事件。这个过程...
vagrant-lxc-k8s:使用Linux容器在本地运行多节点Kubernetes
02-06
LXC 是一种轻量级的容器技术,它利用 Linux 内核的命名空间和控制组(cgroups)特性,为每个容器提供独立的运行时环境,而无需像虚拟机那样模拟整个操作系统。LXC 的优势在于资源利用率高、启动速度快以及与主机系统...
K8S 生态周报| Podman 开始废弃 CNI plugins, 推进自己的网络堆栈
k8s 生态
01-16 400
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。还有一周就春节了,想必有一些小伙伴已经开始休假了吧,提前祝大家新春快乐!BuildKit v0.11 发布BuildKit 我以前有很多篇文章中都有介绍过了。它是 Docker 的下一代构建引擎,目前在 Docker Desktop 中已经默认启用,...
k8s pod 文件权限不足
greenery的专栏
03-29 937
两套集群,同样的云平台,操作系统版本,k8s版本,docker版本,k8s镜像,配置。集群甲顺利部署,集群乙部署后,网络组件异常,容器内文件操作权限不足导致异常退出。目前排查到差别就是集群乙已经创建了业务用户(uid1000),这个会有影响吗?单独docker run那个镜像,在里面操作文件内问题,应该是k8s这边。怀疑selinux,但也关了。
你的Docker容器或者K8SPOD挂载时还在提示没有权限
qq_27081681的博客
06-07 378
容器中的权限问题,一定要看说不定就能解决你的问题
pod里使用ping或者permission denied等权限问题
落雪映青衣的博客
08-01 2927
k8s Security Context配置
《TS:k8spod容器镜像无对root用户目录的操作权限问题解决办法》-2022.4.29(已解决)
weixin_39246554的博客
04-29 2569
案例来源 1、故障现象 现在我们就可以添加 promethues 的资源对象了: [root@master1 p8s-example]#kubectl apply -f prometheus-deploy.yaml deployment.apps/prometheus created [root@master1 p8s-example]#kubectl get pods -n monitor NAME READY STATUS
MicroK8s k3s k0s Podman k8s 各框架对比
学长的猫的博客
04-18 5738
MicroK8s MicroK8s是一个轻量级的Kubernetes环境。与Minikube不同,它不需要VirtualBox,因此可以在虚拟服务器上运行。它是一个轻巧的单节点,并具有Istio,Knative和Kubeflow等全面功能,非常适合学习Kubernetes。 最小化K8s环境部署之MicroK8s_KaliArch的技术博客_51CTO博客https://blog.51cto.com/kaliarch/4910030 k3s k3s是一个轻量级的Kubernetes环境,是Kub
k8s 没有写入容器的权限
duoyasong5907的博客
03-25 1900
容器能调度,并成功挂载pv,正常启动,但控制台报错如下: 原因是用户启动名默认为1001,而目录权限默认为root。对此有两个解决方向,一种方向是以root启动,另一种是在容器创建前把目录权限改为1001. 用root启动 所以需要设置启动用户为root spec: template: spec: containers; ... securityContext: runAsUser: 0 fsGroup: 0 用root用户启动即可
K8S 开发环境搭建
大宇Kerwin
07-16 904
文章目录准备虚拟机安装K8S 开发环境切换 rootGNU 开发工具DockerGoKubernetes 仓库克隆etcd构建 K8S参考 准备 物理机 1 台 CPU x86_64 内存 > 16G 硬盘 > 70G 虚拟机 Virtual Box 6.0 Linux 镜像 CentOS Linux 8 Kernel:Linux 4.18.0-305.3.1.el8. Go:1.16 Kubernetes 1.20.4+ 虚拟机安装 Virtual Box 6.0
K8s容器集群搭建与管理讲义全攻略
Master节点包括API Server、Scheduler、Controller Manager和etcd等组件,而Worker节点包括Kubelet、Kube-Proxy和容器运行时等组件。 在了解了Kubernetes的基本概念和组件后,我们可以开始搭建我们的Kubernetes集群...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值