POD无hostPath类型存储卷写权限问题

已于 2024-03-06 17:33:19 修改
阅读量533 收藏 7
点赞数 8
分类专栏: K8S 文章标签: kubernetes
于 2024-03-06 17:32:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnlotteryy/article/details/136512520
版权

一、问题描述

当Deployment定义并使用了hostPath类型的存储卷,在POD启动或运行过程中,出现写入存储卷的操作,比如:创建目录,创建文件,写入文件等,经常会出现没有权限的问题,通常报错字样为Permission denied。以上报错信息通常出现在pod日志,如启动成功也可以进入容器进行复现。

二、问题原因

k8s启动容器通常不是root用户,而是其他用户,因此由其启动的容器没有权限操作宿主机中归属其他用户和组的目录。

三、解决办法

给宿主机上hostPath对应目录赋上启动pod用户的归属权限即可。具体如下:

1、确认启动pod的用户id

k8s中启动Pod的用户和组信息通常在YAML的securityContextrunAsUserfsGroup字段设置,例如:

securityContext:  
  runAsUser: 1001  
  fsGroup: 1001

如果此处未设置,那么可查看docker镜像中是否有定义。

docker inspect <image_id>结果中查看user等信息。或直接用docker inspect <image_id> |grep -i user尝试。

如果均未设置,那么Pod内的容器将以宿主机上的默认用户和用户组运行,即root用户(用户ID为0)和root组(组ID也为0)来运行。

出于安全考虑,Kubernetes建议不要以root用户在容器中运行应用程序。因此,即使没有在Pod的securityContext中设置用户和组,通常也可在容器镜像的构建过程中设置USER指令来实现。例如,在Dockerfile中,可能有类似下面的指令:

USER 1001

这将导致容器以用户ID为1001的用户运行。这个用户通常是在镜像构建过程中通过adduserRUN useradd等命令创建的。

如果容器可以启动成功,也可以进入容器,通过id命令查看。例如:

...zookeeper-node-1-6dc9db5cd8-p646p:/$ id
uid=1001 gid=0(root) groups=0(root)
2、给目录赋权限

确认好user和group的id后,执行目录赋权命令即可。

chown -R 1001:1001 /bitnami/zookeeper/data

也可以根据id确认其在宿主机的用户名后,再进行赋权,与使用id等效。

[root@zookeeper-node-1]# grep 1001 /etc/passw 
cloudroot:x:1001:1001:1001: /home/cloudroot:/bin/bash
[root@zookeeper-node-1]# chown -R cloudroot:root /bitnami/zookeeper/data

2024.3.6 v1.0

cnlotteryy
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
查询指定pvc存储pod服务绑定情况
02-18
通过k8s的相关命令去查询所有pvc存储pod服务绑定情况,并打印出来
MATLAB对一维热传导问题POD降阶分析
06-27
MATLAB对一维热传导问题POD降阶分析
k8s中pod目录访问权限不足
kylezhou1992的博客
06-24 7829
分析pod权限目录挂载权限问题
pod里使用ping或者permission denied等权限问题
落雪映青衣的博客
08-01 2716
k8s Security Context配置
k8s 持久化存储解析:hostPath与NFS的应用与探索
最新发布
博客虽小,世界尽在其中
04-07 1332
本文深入探讨了Kubernetes中两种常见的持久化存储方案——hostPath和NFS。通过详细解析hostPath和NFS的工作原理、优缺点以及使用场景,本文旨在帮助读者更好地理解这两种存储机制,并为在Kubernetes集群中实施持久化存储提供有价值的参考。
《TS:k8s里pod容器镜像无对root用户目录的操作权限问题解决办法》-2022.4.29(已解决)
weixin_39246554的博客
04-29 2371
案例来源 1、故障现象 现在我们就可以添加 promethues 的资源对象了: [root@master1 p8s-example]#kubectl apply -f prometheus-deploy.yaml deployment.apps/prometheus created [root@master1 p8s-example]#kubectl get pods -n monitor NAME READY STATUS
基于NAS共享NFS的statefulset,volumes绑定为hostpath遇到的权限问题及解决方案。
Explore
11-16 2628
问题背景:不同于常规k8s的statefulset,我们没有创建pv,在statefulset的yaml文件里没有使用volumeClaimTemplates声明PVC的模板,而是直接使用的volumes搭配hostpath的方式,使用的宿主机的存储卷(宿主机的存储卷目录已经挂载到nas 的nfs共享卷)。 statefulset.yaml的volume字段(完整的yaml文件会在文章最末尾贴出来): apiVersion: apps/v1 kind: StatefulSet ...
解决 kubernetes 挂载目录权限问题
骑着蜗牛向前跑的博客
08-19 1万+
解决 kubernetes 挂载目录权限问题
kmem问题造成K8S中pod内存溢出
01-20
$ cat /sys/fs/cgroup/memory/kubepods/burstable/pod//memory.kmem.slabinfo 来查看是否存在bug,如果返回 cat: memory.kmem.slabinfo: Input/output error 则不存在bug 问题解决 需要在 kubelet 和 docker 上都将...
升级到mac 10.10之后使用pod出现问题的解决方法
01-02
最新对mac 10.10的强大功能好奇,于是将系统升级到了10.10,结果发现使用pod出现了下面的问题: /System/Library/Frameworks/Ruby.framework/Versions/2.0/usr/lib/ruby/2.0.0/rubygems/core_ext/kernel_require.rb...
基于MATLAB的主成分分析法(POD
08-14
基于MATLAB的主成分分析,可以从减少数据的处理量,可从大量的数据中筛选出的部分数据,这些数据可以代表整体数据,为后续的处理减少时间。
Kubernetes详解(三十五)——Kubernetes hostPath存储
永远是少年
05-01 1785
今天继续给大家介绍Linux运维相关知识,本文主要内容是Kubernetes hostPath存储卷。 一、hostPath存储卷简介 二、hostPath存储卷创建 三、hostPath存储卷查看 原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200 ...
Kubernetes----HostPath类型的基本存储
redrose2100的博客
04-07 2827
一、HostPath简介 EmptyDir中的数据不会被持久化,它会随着Pod的结束而销毁,如果想简单的将数据持久化到主机中,可以选择HostPath HostPath就是将Node主机中的一个实际目录挂载到Pod中,以供容器使用,这样的设计就可以保证Pod销毁了,但是数据可以存在Node主机上 二、HostPath实例演示 如下,将Node节点上一个目录挂载到pod中,这样当pod销毁时,数据仍然存在,即做到了持久化存储 编辑hostpath.yaml文件,内容如下: apiVersion: v1 ki
K8S学习笔记之Pod的Volume emptyDir和hostPath
dengxiangbao3167的博客
05-22 1107
0x00 Volume的类型 Volume是Kubernetes Pod中多个容器访问的共享目录。 Volume被定义在Pod上,被这个Pod里的多个容器挂在到相同或不同的路径下。 Volume的生命周期与Pod的生命周期相同,Pod内的容器停止和重启时不会影响Volume中的数据。 Kubernetes提供了许多Volume类型: emptyDir hostPath ...
持续集成部署-k8s-配置与存储-配置管理:HostPath 的使用
种一棵树最好的时间是十年前,其次是现在。
11-25 2005
在 Kubernetes 中,`HostPath` 是一种用于挂载宿主机上文件或目录到容器中的卷类型。使用 `HostPath` 卷类型,可以让你在容器内部访问宿主机上的文件或目录。
在k8s的pod中操作文件权限不够怎么办
weixin_42605397的博客
02-15 1607
如果您在 Kubernetes(k8s)Pod 中的操作权限不足,您可以尝试以下解决方法: 使用 kubectl exec 命令以 root 用户身份进入 Pod 中,例如: kubectl exec -it <pod-name> -- /bin/bash ...
k8s 容器内操作报Permission defined,以root运行容器,定义Pod的特权和访问控制权限
热门推荐
qq_32352777的博客
05-10 1万+
目录 前言 查阅官方文档,找答案 解决方案 前言 当我们通过Pods、Daemon Sets、Deployments等方式运行pod时,大部分镜像容器默认是无特权的运行,独立用户运行的,以elastic/filebeat为例,查看用户和用户组: 可以看到默认是使用uid=1000的filebeat用户,当我们想在容器中创建文件、或者修改文件就会提示Permission defined,如下图所示: 我们可以看到filebeat用户没有权限,如果要解决这个问题我们可以通过
k8s pod 文件权限不足
greenery的专栏
03-29 825
两套集群,同样的云平台,操作系统版本,k8s版本,docker版本,k8s镜像,配置。集群甲顺利部署,集群乙部署后,网络组件异常,容器内文件操作权限不足导致异常退出。目前排查到差别就是集群乙已经创建了业务用户(uid1000),这个会有影响吗?单独docker run那个镜像,在里面操作文件内问题,应该是k8s这边。怀疑selinux,但也关了。
Kubernetes Pod详解
axibazZ的博客
08-17 2054
一、Pod介绍 1.Pod的结构 每个Pod中都可以包含一个或者多个容器,这些容器可以分为两类: 用户程序所在的容器,数量可多可少。 Pause容器,这是每个Pod都会有的一个根容器,他的作用有两个: . 1.可以以他为依据,评估整个Pod的健康状态。 2.可以在根容器上设置ip地址,其他容器都依赖此ip(Pod IP),以实现Pod内部的网络通信。(这里是Pod内部的通讯,Pod之间的通讯是采用虚拟二层网络技术来实现,我们当前的环境用的是Flanne...
使用cgroupv2实现pod存储卷的io限速
06-12
使用cgroupv2实现pod存储卷的IO限速,可以通过以下步骤实现: 1. 确认cgroupv2文件系统已启用。可以通过检查/sys/fs/cgroup目录下是否存在cgroup.controllers文件来判断。 2. 创建一个新的cgroup用于存储卷的IO...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值