openshift开启anyuid-pod未使用应用指定账户操作,无权限问题

最新推荐文章于 2024-04-19 23:45:00 发布
最新推荐文章于 2024-04-19 23:45:00 发布
阅读量1k 收藏 1
点赞数
分类专栏: 云开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haiziccc/article/details/105730302
版权

经常遇到有应用报镜像部署的时候报权限不够,或者应用部署后发现某个功能没权限执行,这是因为openshift默认会分配一个

 uid 1000920000的用户作为应用运行的账户,如果需要使用指定的账户运行,则需要开启anyuid,而anyuid默认是关闭的。

开启方式如下:

  • 登录到master,执行oc project porject-name,会提示已经切换到porject-name;
  • 执行oc adm policy add-scc-to-user anyuid -z default,提示scc "anyuid" added to: ["system:serviceaccount:porject-name:default"]
  • 如果应用已经部署,则需要重启pod;

判断该应用是否已经开启anyuid,可以查看pod yaml配置,如包含openshift.io/scc: anyuid则已开启。

[root@master01 ~]# oc get pod pod-name -o yaml
apiVersion: v1
kind: Pod
metadata:
  annotations:
    openshift.io/deployment-config.latest-version: "4"
    openshift.io/deployment-config.name: pod-name 
    openshift.io/deployment.name: pod-name 
    openshift.io/scc: anyuid

 

 

SeasonRun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
simple-openshift-kafka-cluster:用于openshift的简单Kafka-Zookeeper部署-无需使用操作
04-05
kafak创建主题 /opt/kafka/bin/kafka-topics.sh --create --topic quickstart-events1 --zookeeper zk-0.zk:2181 --partitions 1 --replication-factor 2 卡夫卡描述话题 /opt/kafka/bin/kafka-topics.sh --...
该死的anyuid
weixin_34242658的博客
05-17 351
2019独角兽企业重金招聘Python工程师标准>>> ...
openshift scc解析
weixin_34410662的博客
05-27 1049
  SCC使用UserID,FsGroupID以及supplemental group ID和SELinux label等策略,通过校验Pod定义的ID是否在有效范围内来限制pod权限。如果校验失败,则Pod也会启动失败。SCC的策略值设置为RunAsAny表示pod拥有该策略下的所有权限。否则只有pod的SCC设置与SCC策略匹配时才能通过认证。   SCC可能会给出所允许的策略的值的范围(...
K8s: 运行Pod时的root用户和非root用户的安全相关配置
最新发布
Wang的专栏
04-19 1723
docker 容器运行起来,默认是 root 用户 这样运行起来后,基本不会遇到权限相关问题 带来的问题是: 权限过大,被攻击后会遇到严峻挑战 基于这个问题,K8s提出了特权用户的概念 在容器启动时,虽然启动的是 root 用户,但是不具备所有root功能 只是一个映射的root用户,如果不开启 privilege 试图修改系统关键信息 是会报错的,加上 --privilege 之后,就是一个特权用户,就可以进行修改
openshift常用命令总结-每天学一条-持续更新
haiziccc的专栏
04-21 5971
oc get nodes //获取集群所有节点 oc describe node node-name //查看对应节点详细信息,可以看到运行在该节点下的pod oc get pods -n namespace-name //查看对应namespace下pod oc describe pod pod-name -n namespace-name //查看pod详细信息 oc get limitr...
理解OpenShift(4):用户及权限管理
weixin_34212189的博客
12-08 975
理解OpenShift(1):网络之 Router 和 Route 理解OpenShift(2):网络之 DNS(域名服务) 理解OpenShift(3):网络之 SDN 理解OpenShift(4):用户及权限管理 理解OpenShift(5):从 Docker Volume 到 OpenShift Persistent Volume   ** 本文基于 OpenShift 3.11...
OC && K8S 常用命令总结{持续更新}
weixin_43970884的博客
12-30 1585
oc get mcp //查看更新并重启的节点 oc adm policy add-scc-to-user anyuid -z default -n <资源组名称> //为该project下default账户开启anyuid, 可以使用root权限,一般是安装/运行某些软件时需要 oc adm policy remove-scc-from-user anyuid -z default -n <资源组名称> //为该project下default账户关闭anyuid ...
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
openshift-restclient-python:适用于OpenShift API的Python客户端
05-01
OpenShift python客户端 和 API的Python客户端。 该项目与Kubernets和OpenShift API交互的方式有两种。 现在不推荐使用的第一种方法是使用API​​规范中大张旗鼓地生成的模型和函数。 第二种新方法是使用单个模型和...
openshift-mean-seed-quickstart:MEAN 应用程序的种子
06-25
#MEAN-Seed 这是 MEAN-Seed 的 Getup Cloud OpenShift 快速入门。 首先,您需要一个 Getup Cloud 帐户。 它提供了 750 小时的免费试用时间。 到并免费注册。 ##安装创建您的 nodejs 应用程序: rhc app-create ...
Openshift安装weave
运维求生之路
10-16 240
weave安装 https://www.weave.works/docs/scope/latest/installing/#k8s oc new-project weave #Scope probe pods need full access to Kubernetes API via ‘weave-scope’ service account oc adm policy add-cluster-...
OpenShift 4 - 提权运行容器
多恩斯基的博客
07-12 642
Docker缺省可以使用root身份运行容器中服务。出于安全,这在OpenShift中缺省是不被允许的。不过可以通过设置OpenShift的SCC的缺省配置,来运行这种不能正常运行的容器镜像。 运行HTTP容器 $ oc new-project http $ oc new-app --docker-image=httpd:2.4.17 查看pod状态,确认已经是“CrashLoopBackOff”状态。 $ oc get pod -w NAME READY STATUS
openshift常用命令(转载)
完颜振江
09-20 831
openshift常用命令(转载)
kubectl mysql 集群_在K8S集群中一步步构建一个复杂的MySQL数据库
weixin_35676444的博客
01-18 223
文档说明​ 本文面向容器初学者,作者先简单的用MySQL官方镜像搭建一个可运行的单实例数据库,而后考虑生产或现实需求,一步一步完善并揉合K8S多个技术,从而构建一个复杂且可供生产用的MySQL单实例库。简单部署​ 如下所示,我们仅需设置root用户密码(环境变量MYSQL_ROOT_PASSWORD), 便可轻松的使用MySQL官方镜像构建一个MySQL数据库。# kubectl cr...
【转】openshift运行应用权限报错解决
云原生,DevOps,Kubernetes
09-29 1014
openshift里多了scc概念.scc是security context constraints缩写.安全上下文约束. 简单讲就是授权的. 系统有一大堆权限,包含访问project的权限,访 问api的权限等.新建个用户后,酌情把这些权限授权他们.在我新建的 project ,demo-project里新建了个nginx. 报错. 参考: https://docs.openshift.co...
Loki日志系统详解3——部署
L
09-06 6413
Loki日志系统详解3——部署 Loki的安装非常简单 创建namespace oc new-project loki 权限设置 oc adm policy add-scc-to-user anyuid -z default -n loki oc adm policy add-cluster-role-to-user cluster-admin system:serviceaccount:l...
OpenShift 4 - 安全上下文 SecurityContext
多恩斯基的博客
12-15 1451
Security Context 什么是安全上下文(Security Context) 安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。管理员可以使用Security Context 定义运行的Pod是否有以下权限Pod 能否运行特权容器。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 将主机目录当做卷使用。 容器的 SELinux 上下文。 基于用户 ID(UID)和组 ID(GID) 来判定对对象(例如文件)的访问
Openshift安装istio
运维求生之路
10-16 767
参考istio官网:https://istio.io/docs/ 0.概念 Envoy 被部署为 sidecar,和对应服务在同一个 Kubernetes pod 中。这允许 Istio 将大量关于流量行为的信号作为属性提取出来,而这些属性又可以在 Mixer 中用于执行策略决策,并发送给监控系统,以提供整个网格行为的信息。 Citadel 通过内置身份和凭证管理赋能强大的服务间和最终用户身份验证...
openshift internal-registry 切换 sc
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SeasonRun

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值