k8s中pod目录访问权限不足

最新推荐文章于 2024-06-07 10:26:12 发布
最新推荐文章于 2024-06-07 10:26:12 发布
阅读量8k 收藏 9
点赞数 2
文章标签: kubernetes docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kylezhou1992/article/details/125452190
版权

相关背景

在调试mysql-operator和mysql,在部署mysql的过程中,一直出现,mysqld: File ‘/var/lib/mysql-bin.index’ permission deined或者报错Can’t find error-message file ‘/usr/local/mysql/errmsg.sys’

cluster.yaml

apiVersion: mysql.presslabs.org/v1alpha1
kind: MysqlCluster
metadata:
  name: my-cluster
spec:
  replicas: 2
  secretName: my-secret
  volumeSpec:
    hostPath:
      path: /data/mysql
      type: DirectoryOrCreate
  mysqlConf:
    innodb-buffer-pool-size: 1Gi

通过kubectl describe pod podname查看到pod是卡在了mysql-init-log或mysql容器启动过程中。
通过kubectl logs podname -c containername查看到容器的报错都为无法读写容器内/var/lib/mysql目录,而导致容器执行异常退出,而且镜像都在percona镜像。
服务器/data/mysql挂载了容器中的/var/lib/mysql。

思路

  1. 判断是服务器上的/data/mysql权限配置不对,导致容器挂载后无权限。容器的默认用户为mysql,uid为999,gid为999。通过将/data/mysql权限设置为777,以及将目录用户和组设置为999:999,问题依旧存在。分析有误。
  2. 通过手动模拟容器挂载,复现该问题,判断是否为容器启动时候的权限问题。
    docker run -v /data/mysql:/var/lib/mysql -it percona bash,进入容器后,/var/lib/mysql目录用户就为999,可以访问并读写文件,无问题。分析有误。
  3. 通过改变挂载目录/data/mysql变为/data,很奇怪,可以通过init-container,但是无法执行mysql的逻辑。问题依旧存在。
  4. 可能是k8s启动有问题,通过模拟mysql容器化启动逻辑,启动后进入pod,判断问题能否复现。
    执行kubectl apply -f pod.yaml,让容器一直在sleep中,并进入容器kubectl exec -it podname – bash,发现/var/lib/mysql的目录用户和组都为root,则确认问题。k8s启动pod和docker启动容器的逻辑不同,k8s会默认使用root来创建设置挂载目录,而docker是使用宿主机上的目录的用户和组。
    相关代码:
apiVersion: v1
kind: Pod
metadata:
  name: mytest
spec:
  containers:
    - name: percona
      image: percona
      volumeMounts:
        - mountPath: /var/lib/mysql
          name: mysql
      imagePullPolicy: IfNotPresent
      command:
        - /usr/bin/bash
        - -c
        - sleep 200000000
  volumes:
    - name: mysql
      hostPath:
        path: /data/mysql
  1. 修复
    使用init-container挂载相同目录来修改目录权限解决。相关代码:
apiVersion: mysql.presslabs.org/v1alpha1
kind: MysqlCluster
metadata:
  name: my-cluster
spec:
  replicas: 2
  secretName: my-secret
  volumeSpec:
    hostPath:
      path: /data/mysql
      type: DirectoryOrCreate
  mysqlConf:
    innodb-buffer-pool-size: 1Gi
  podSpec:
    initContainers:
      - name: volume-permissions
        image: busybox
        securityContext:
          runAsUser: 0
        command:
          - sh
          - -c
          - chmod 750 /datea/mysqlk; chown 999:999 /data/mysql
        volumeMounts:
          - name: data
            mountPath: /data/mysql
kylezhou1992
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
k8s+crio+podman搭建集群
「 虚幻私塾」
07-14 3624
在传统的k8s集群,我们都是使用docker engine做为底层的容器管理软件的,而docker engine因为不是k8s亲生的解决方案,所以实际使用会有更多的分层。之前我们也讲过,k8s为了调用docker engine,专门写了一个dockershim做为CRI,而在1.20版本的时候,k8s就宣布停止更新dockershim了,也就是说再往后的版本就不推荐使用k8s+dockershim+docker engine的方案了。而k8s官方比较推荐的解决方案,官方比较推荐的是cri-o或者con
k8s 没有写入容器的权限
duoyasong5907的博客
03-25 1756
容器能调度,并成功挂载pv,正常启动,但控制台报错如下: 原因是用户启动名默认为1001,而目录权限默认为root。对此有两个解决方向,一种方向是以root启动,另一种是在容器创建前把目录权限改为1001. 用root启动 所以需要设置启动用户为root spec: template: spec: containers; ... securityContext: runAsUser: 0 fsGroup: 0 用root用户启动即可
你的Docker容器或者K8SPOD挂载时还在提示没有权限
最新发布
qq_27081681的博客
06-07 226
容器权限问题,一定要看说不定就能解决你的问题
k8spod操作文件权限不够怎么办
weixin_42605397的博客
02-15 1645
如果您在 Kubernetes(k8s)Pod 的操作权限不足,您可以尝试以下解决方法: 使用 kubectl exec 命令以 root 用户身份进入 Pod ,例如: kubectl exec -it <pod-name> -- /bin/bash ...
K8S 生态周报| Podman 开始废弃 CNI plugins, 推进自己的网络堆栈
k8s 生态
01-16 365
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。还有一周就春节了,想必有一些小伙伴已经开始休假了吧,提前祝大家新春快乐!BuildKit v0.11 发布BuildKit 我以前有很多篇文章都有介绍过了。它是 Docker 的下一代构建引擎,目前在 Docker Desktop 已经默认启用,...
《TS:k8spod容器镜像无对root用户目录的操作权限问题解决办法》-2022.4.29(已解决)
weixin_39246554的博客
04-29 2441
案例来源 1、故障现象 现在我们就可以添加 promethues 的资源对象了: [root@master1 p8s-example]#kubectl apply -f prometheus-deploy.yaml deployment.apps/prometheus created [root@master1 p8s-example]#kubectl get pods -n monitor NAME READY STATUS
pod里使用ping或者permission denied等权限问题
落雪映青衣的博客
08-01 2776
k8s Security Context配置
K8S创建用户账号User Account并赋予权限
06-12
KubernetesK8S)集群管理,为了实现安全的多租户环境和权限控制,需要为不同的用户和团队创建独立的账号,并授予适当的访问权限。本篇将详细介绍如何在K8S创建用户账号(User Account)以及如何为其赋予权限...
阿里云k8s 一键部署nacos2.0.3
01-10
在本场景,我们将讨论如何在阿里云k8s集群上一键部署Nacos 2.0.3版本。 首先,了解Kubernetes的基本概念至关重要。Kubernetes通过Pods、Services、Deployments、ConfigMaps和Secrets等核心对象来组织和管理应用。...
calico flannel k8s 安装yaml文件
03-05
Kubernetesk8s)集群,网络插件起着至关重要的作用,它们负责为Pod之间提供网络通信。在本话题,我们将探讨两个流行的网络插件:Calico和Flannel,以及如何通过YAML文件来安装它们。YAML是Kubernetes的主要...
k8s dashboard v2.7.0离线镜像包
10-15
在部署 Kubernetes Dashboard 时,确保遵循最佳实践,例如使用 HTTPS 连接以保证通信安全,限制 Dashboard 的权限以防止未授权访问,以及定期更新到最新版本以获取安全补丁和新功能。同时,理解 Kubernetes 的基本...
k8s集群环境搭建资源
10-27
5. **Service**:Service是k8s的一种对象,它定义了一种访问Pod的方式,通常是通过标签选择器来选择一组Pod。Service提供了稳定的IP和DNS名称,即使Pod实例发生变化,Service仍然可以持续提供服务。 6. **存储**...
基于Centos7安装k8s集群(k8s+crio+podman)
justlpf的专栏
02-24 1520
一、前言dockershimCRIcri-ocontainerd二、CRI-O, Containerd, Docker daemon 对比cri三者区别如图:三、k8s+crio+podman实现3.1 podman安装三台机都需要安装podman3.2 k8s的安装参考:三台机都需要安装kubeletkubeadmkubectl,并启动kubelet3.2 cri-o的安装3.2.1 Ubuntu(18.04)安装。
Pod执行目录操作,提示Permission denied
lovely_nn的博客
04-21 2154
问题:进入Pod执行创建文件的操作,出现如下报错 $ kubectl exec -it jenkins-5b688ddcc7-h72f2 -n cicd bash $ touch test touch: cannot touch 'test': Permission denied 解决:因为这里通过K8S exec进入Pod的用户是普通用户,而修改文件我们需要root权限K8S exec命令目前没有找到指定用户的相关参数,但是Docker的exec命令可以通过-u指定root用户,那么可以通过docke
MicroK8s k3s k0s Podman k8s 各框架对比
学长的猫的博客
04-18 5473
MicroK8s MicroK8s是一个轻量级的Kubernetes环境。与Minikube不同,它不需要VirtualBox,因此可以在虚拟服务器上运行。它是一个轻巧的单节点,并具有Istio,Knative和Kubeflow等全面功能,非常适合学习Kubernetes。 最小化K8s环境部署之MicroK8s_KaliArch的技术博客_51CTO博客https://blog.51cto.com/kaliarch/4910030 k3s k3s是一个轻量级的Kubernetes环境,是Kub
解决 kubernetes 挂载目录权限的问题。
热门推荐
骑着蜗牛向前跑的博客
08-19 1万+
解决 kubernetes 挂载目录权限的问题
记录一次事故:修改nfs的/etc/exports权限参数,导致k8s挂载无法使用
xyw19991006的博客
10-21 1530
记录一次修改nfs权限导致k8spod无法使用
podman部署及应用
Eternity_zzh的博客
08-15 547
podman部署及应用
POD无hostPath类型存储卷写权限问题
勿在浮沙筑高
03-06 577
POD无hostPath类型存储卷写权限问题
k8s pod 内容器 共享内存
10-27
Kubernetes (K8s) 是一个开源的容器编排平台,可以用于自动化管理容器的部署、扩展和操作。在 K8s Pod 是最小的可部署单元,可以包含一个或多个容器,并共享同一个网络命名空间和 IPC(进程间通信)。 共享内存是一种进程间通信的方式,用于使不同的进程可以互相访问和修改同一块内存区域。在 K8s Pod 内容器,可以通过多种方式实现共享内存。 一种常见的方式是使用共享卷(Shared Volume)。共享卷可以被多个容器挂载,在这些容器之间共享相同的文件或目录。通过在容器的定义文件配置共享卷,可以将特定的文件系统路径挂载到所有相关容器,从而实现共享内存的目的。 另一种方式是使用共享内存的网络协议,如共享内存网络(Shared Memory Network)。共享内存网络是一种高性能的通信机制,可以在同一个主机上的不同容器之间实现低延迟、高吞吐量的数据传输。通过在容器的定义文件配置和启动共享内存网络,可以使相关容器能够共享内存区域,进而实现共享内存的目的。 需要注意的是,在 K8s 实现共享内存时,需要留意容器之间的数据隔离和安全性,以避免潜在的数据泄露或冲突问题。可以通过合理的访问控制和权限管理等方式,确保共享内存的安全和可靠。 总之,K8s Pod 内容器可以通过共享卷或共享内存网络等方式实现共享内存。这种共享内存的机制可以使容器之间能够互相访问和修改同一块内存区域,从而实现数据共享和协同工作的需求。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值