基于NAS共享NFS的statefulset,volumes绑定为hostpath遇到的权限问题及解决方案。

最新推荐文章于 2024-05-29 20:53:15 发布
最新推荐文章于 2024-05-29 20:53:15 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: kubernetes nfs k8s 文章标签: linux kubernetes nfs postgresql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29274865/article/details/109688259
版权
kubernetes 同时被 3 个专栏收录
12 篇文章 1 订阅
订阅专栏
k8s
10 篇文章 0 订阅
订阅专栏
nfs
1 篇文章 0 订阅
订阅专栏

问题背景:不同于常规k8s的statefulset,我们没有创建pv,在statefulset的yaml文件里没有使用volumeClaimTemplates声明PVC的模板,而是直接使用的volumes搭配hostpath的方式,使用的宿主机的存储卷(宿主机的存储卷目录已经挂载到nas的nfs共享卷)。
statefulset.yaml的volume字段(完整的yaml文件会在文章附录中贴出来):

apiVersion: apps/v1
kind: StatefulSet
      ...
      volumes:
      - name: postgres-volume
        hostPath:
          path: /mnt
      - name: cgwire-volume
        hostPath:
          path: /mnt

问题描述:我们的实验需要在pod里面启动一个postgresql容器,在postgresql的dockerfile里面需要执行一个指令:

chown -R postgres:postgres /var/lib/postgresql

postgresql想修改挂载目录/mnt里面一个文件的owner和group,但是nfs共享文件夹不让给他权限,pod内的postgresql容器报错:

chown  /var/lib/postgresql :Permission denied

以上就是错误信息,我们是用root身份在运行整个流程为什么我们会没有权限执行chown,我们通过命令查看statefulset被调度到的哪个节点,我们去那个节点的挂载目录/mnt下查看文件的所属用户和组,具体如下:
在这里插入图片描述
我们可以看到文件的所属用户为nfsnobody,root用户被压缩成了匿名使用者nfsnobody,难怪没有权限,这是怎么回事?我权限呢?通过查询资料我们发现,其实nfs在用户映射方面是有自己的一套操作的,nfs会识别你登陆进nfs的用户信息,是root啊?还是普通用户啊?然后进行映射,映射成nfs内部用户,很显然,我没有进行任何配置映射规则的操作,结果,被nfs映射成了nfsnobody(普通用户,权限最低的普通用户,防止黑客恶意攻击的一种手段)。
知道了原因,我们就可以想办法解决了,通过查询,我们查询到了以下方法:
①挂载时指定mount的版本。
步骤:
加上vers=3,指定使用mount v3 版本进行挂载,例:

mount -t nfs -o vers=3 server:/share /mnt

②修改映射规则。
步骤:
1 先在挂载nfs共享的节点上umount /mnt

umount /mnt

注:如果umount时出现了“device is busy”和“Stale file handle”,点击此链接可能会有帮助。
2 然后在nfs server上修改/etc/exports文件,添加no_root_squash,修改如下:

/mnt  *(rw,no_root_squash,sync)
#*的意思是对所有连接过来的用户都执行此操作

分析:
用户对目录的权限受两方面的约束:NFS认证约束、Posix权限
NFS权限
NFS服务器中的exports中可以配置读写,只读权限。
Posix权限
exports目录权限中,参数no_root_squash作用是:NFS客户端使用共享目录的用户,如果是root用户的话,所有的操作均在服务端映射为root用户,拥有共享目录的root权限
默认情况下使用的时相反的参数root_squash:在登入NFS主机的export目录的使用者如果是root时,那么这个使用者的权限将被压缩成匿名使用者,通常他的UID和GID都会变成nobody那个身份(因为之前我们的客户端是用root登录的,自然权限被压缩成nobody了,难怪无法chown)。
3 重新加载业务
exportfs -arv
4 重新将nfs挂载到/mnt文件夹尝试是否可以chown。

#指定v3的方法 
mount -t nfs -o vers=3 server:/share /mnt

例:mount -t nfs -o vers=3 192.168.1.5:/mnt/pool0/hpc /mnt
:也有可能是selinux的问题
关闭selinux(我是使用的关闭selinux的方法)或者在selinux添加规则,修改挂载目录(我没有做,读者可以自行尝试一下)

关闭selinux
修改/etc/sysconfig/selinux

SELINUX=disabled

还要临时关闭selinux

setenforce 0

关于nfs用户权限的问题修改可以点此了解更详细的内容

但是,我使用的nas服务器,以上的方法对我的没有权限问题都不奏效,所以说如果写的不到位,还请指教。
在关于nas服务器,我找到了一种解决方法,就是:
在这里插入图片描述
这种设置以后,会在nas服务器的/etc/exports文件上追加一条指令。
刚开始是这样:

/mnt/pool0/hpc

修改了映射规则后是这样:

/mnt/pool0/hpc -mapall="root":"wheel"

追加了一条映射指令。
我们重新挂载/mnt,然后常见文件查看nfs文件夹内创建的文件的所属用户和所属组:
我们执行statefulset的yaml文件后,nas上的nfs共享文夹/mnt/pool0/hpc同步过来的文件:
在这里插入图片描述
全是root和wheel组,没问题。
节点上挂载nfs的/mnt文件夹内的情况:
在这里插入图片描述
没问题,已经修改成了postgres的专属的所属用户,这证明chown也可以使用了。
总结:
最开始介绍的方法,我都用过,但是没有成功,最后的方法是奏效的,可能是TrueNAS有自己的一套开权限的方法吧。

附录:

①完整的statefulset.yaml文件(内含service的yaml文件):

apiVersion: v1
kind: Service
metadata:
  name: cgwire
  labels:
    app: cgwire
spec:
  ports:
  - port: 80
    name: web-service
    targetPort: 80
  clusterIP: None
  selector:
    app: cgwire
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: web-service
spec:
  selector:
    matchLabels:
      app: cgwire
  serviceName: "cgwire"
  replicas: 1
  template:
    metadata:
      labels:
        app: cgwire
    spec:
      containers:
      - name: postgres
        image: postgres:latest
        imagePullPolicy: IfNotPresent
        env:
        - name: PGDATA
          value: /var/lib/postgresql/data/pgdata
        - name: POSTGRES_PASSWORD
          value: mysecretpassword
        ports:
        - containerPort: 5432
          name: web-service
        volumeMounts:
        - name: postgres-volume
          mountPath: /var/lib/postgresql/data
      - name: cgwire
        image: cgwire:latest
        imagePullPolicy: Never
        ports:
        - containerPort: 80
        lifecycle:
         postStart:
          exec:
           command:
             - sh
             - -c
             - while [ ! -f  "/tmp/existed.txt"  ];do sleep 8;/opt/zou/init_zou.sh; done
        volumeMounts:
        - name: cgwire-volume
          mountPath: /tmp
        livenessProbe:
          tcpSocket:
             port: 80
          initialDelaySeconds: 12
          periodSeconds: 3
          timeoutSeconds: 3
          failureThreshold: 2
      volumes:
      - name: postgres-volume
        hostPath:
          path: /mnt/postgres
      - name: cgwire-volume
        hostPath:
          path: /mnt/cgwire

②几个当时我查阅博客,供大家参考。
nfs报错chown changing ownership of xxx Operation not permitted
权限 – 挂载的NFS分区上的chown给出“不允许操作”
NFS服务的用户身份映射
nfs挂载Permission denied问题解决
nfs的配置文件/etc/exports

一碗手擀面
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
kubernetes集群实战——Volumes配置管理(StatefulSet控制器应用)
weixin_45792518的博客
07-07 1378
1.StorageClass功能属性 StorageClass提供了一种描述存储类(class)的方法,不同的class可能会映射到不同的服务质量等级和备份策略或其他策略等。 每个 StorageClass 都包含 provisioner、parameters 和 reclaimPolicy 字段, 这些字段会在StorageClass需要动态分配 PersistentVolume 时会使用到。 StorageClass的属性 Provisioner(存储分配器):用来决定使用哪个卷插件分配 PV,该字段必
statefulset使用hostPath存储卷
05-01 1362
预先创建好三个pv:ss-pv-volume, ss-pv-volume-1, ss-pv-volume-2 创建statefulset,自动绑定pv,同时生成三个pvc 验证statefulset 在k8s-node3的/mnt/statefulset目录下,放入测试html 访问web-2的nginx 缩容后看看pvc,pv kubectl scale sts web --replicas=2, web-2名字的pod将被删掉 pv,pvc...
linux系统添加文件挂载
最新发布
zhang_130914036的博客
05-29 269
linux系统添加文件挂载
NFS动态存储之StatefulSet 部署 etcd 集群
weixin_42562106的博客
12-24 425
cat<<END> etcdc.yaml apiVersion: apps/v1 kind: StatefulSet metadata: labels: app: etcd name: etcd spec: replicas: 3 selector: matchLabels: app: etcd serviceName: etcd template: metadata: labels: app: et
使用nfs 作为PV 学习StatefulSet
weixin_40455124的博客
04-03 247
使用 quay.io/external_storage/nfs-client-provisioner 作为动态pv的storageClass来测试StatefuleSet。 注意nfs-client-provisioner 会不时连接不到api-server,原因不详。 先上关键配置,StorageClass及nfs 对应的deamon(deployment): --- apiVersion: s...
kubernetes(k8s) 配置nfs动态卷实现StatefulSet的持久化存储
Gavin
03-19 1778
kubernetes(k8s) 配置nfs动态卷实现StatefulSet的持久化存储 参考: 1、https://blog.csdn.net/weixin_41004350/article/details/90168631 2、https://blog.csdn.net/weixin_41004350/article/details/78492351 我们知道,平时kubernetes在部署...
Docker(二十)--Docker k8s--Kubernetes存储--Volumes配置管理--持久卷--StatefulSet
qwerty1372431588的博客
02-25 237
StatefulSet1. 简介2. 示例2.1 环境清理2.2 配置2.3 测试2.4 补充3. statefullset部署mysql主从集群3.1 配置3.2 测试 1. 简介 StatefulSet将应用状态抽象成了两种情况: 拓扑状态:应用实例必须按照某种顺序启动。新创建的Pod必须和原来Pod的网络标识一样 存储状态:应用的多个实例分别绑定了不同存储数据。 StatefulSet给所有的Pod进行了编号,编号规则是:$(statefulset名称)-$(序号),从0开始。 State
详解Docker创建php开发环境遇到权限问题解决方案
01-10
最近我将公司的开发,和测试环境都运行到docker 上面,因为开发,测试基本都是装代码拉到本址,然后,再... volumes: - ./www:/var/www/html - ./data:/usr/local/var/log extra_hosts: - cache.redis.com:192.168.9
Nimble Storage全闪融合解决方案概览.pdf
10-13
Nimble Storage的二级闪存加存储解决方案进一步增强了数据管理能力,通过Cloud Volumes提供云存储服务,并结合通用数据管理服务,确保数据的安全性和可访问性。此外,InfoSight信息预测分析服务是Nimble Storage的一...
VMware App Volumes产品介绍.pdf
10-10
VMware App Volumes是一款针对虚拟桌面环境的集成式应用和用户管理解决方案,旨在解决传统桌面和应用虚拟化中遇到的挑战。它适用于VMware Horizon、Citrix XenApp和XenDesktop以及RDSH环境,提供了高效、快速的应用...
NetApp私有云及虚拟化解决方案.zip
10-03
这个名为“NetApp私有云及虚拟化解决方案”的压缩包内容可能包含了关于如何利用NetApp技术构建高效、灵活且安全的私有云环境以及优化虚拟化基础设施的详细资料。 私有云是一种在企业内部部署并由企业自身控制的...
Kubernetes-Volumes配置、emptyDir卷、hostPath 卷、持久卷、StatefulSet介绍
qq_46490950的博客
08-02 948
目录一.Volumes配置管理二.emptyDir卷1.emptyDir卷创建2. 访问三.hostPath 卷1.结合nfs四.PersistentVolume持久卷介绍1.持久卷PV --静态2.持久卷pv-动态介绍部署五.StatefulSet1.设置默认sc2.StatefulSet实现pod拓扑 一.Volumes配置管理 容器中的文件在磁盘上是临时存放的,这给容器中运行的特殊应用程序带来一些问题。首先,当容器崩溃时,kubelet 将重新启动容器,容器中的文件将会丢失,因为容器会以干净的状态重建
企业运维实战--k8s学习笔记8.Volumes配置管理之动态pv、statefulset的使用
Rabbit_hyl的博客
07-31 825
企业运维实战--k8s学习笔记8.Volumes配置管理之动态pv、statefulset的使用一、Nfs动态分配pv二、StatefulSet如何通过Headless Service维持Pod的拓扑状态 一、Nfs动态分配pv 有两种PV提供的方式:静态和动态。 静态PV:集群管理员创建多个PV,它们携带着真实存储的详细信息,这些存储对于集群用户是可用的。它们存在于Kubernetes API中,并可用于存储使用。 动态PV:当管理员创建的静态PV都不匹配用户的PVC时,集群可能会尝试专门地供给volu
【云原生】Kubernetes控制器中StatefulSet的使用
热门推荐
征服Bug的博客
08-11 1万+
官方地址:StatefulSet 是用来管理有状态应用的工作负载 API 对象。无状态应用: 应用本身不存储任何数据的应用称之为无状态应用。有状态应用: 应用本身需要存储相关数据应用称之为有状态应用。博客: 前端vue 后端 java mysql redis es ....数据采集: 采集程序 有状态应用StatefulSet 用来管理某 Pod 集合的部署和扩缩,并为这些 Pod 提供持久存储和持久标识符。
Kubernetes - 实战:存储之Volumes配置管理emptyDir卷、hostPath卷、PersistentVolume持久卷、StatefulSet控制器
qq_33240556的博客
04-17 358
以上实战示例展示了如何在Kubernetes中配置和使用emptyDir、hostPath、PersistentVolume/PersistentVolumeClaim以及如何在StatefulSet中使用持久卷。StatefulSet特别适合需要持久化标识符、有序部署以及稳定的网络标识符(如固定不变的域名)的应用场景。在Kubernetes中,存储卷(Volumes)是用于持久化或临时存储Pod数据的关键组件。emptyDir卷在Pod创建时自动创建,在Pod销毁时自动清除。
kubernetesStatefulSet
菲宇运维
09-09 2021
StatefulSet k8s的statefulset相信很多人都用过,在1.5之后才引入的,1.5之前用的是petset,关于petset在之前的老版本的paas开发中用的就是petset,很多不足的地方,等会儿会说到这点。petset也好,statefulset也好,都是为啦解决容器的有状态服务。下面就谈谈在用statefulset的时候的一些小疑惑和收获。 浅谈statefulset v...
Kubernetes 理解笔记之 StatefulSet
牧码杭城
01-05 363
本文是对“有状态应用”的多副本控制器 StatefulSet 的理解笔记。StatefulSet 是 Kubernetes 中用来处理“有状态应用”的,所以理解过程从“什么是有状态应用”到“Kubernetes解决方案”顺序展开,着重在记录 Kubernetes 在处理拥有拓扑状态和存储状态的“有状态应用”的控制管理上的的解决方案。大部分都是按照自己的理解记录,所以若有错误欢迎指正。 文...
hualinux 进阶 1.15:StatefulSet有状态应用(一)
hualinux(阿华的linux)
07-20 384
目录 一、StatefulSets介绍 二、StatefulSet 状态分类 2.1 拓扑状态 2.2 存储状态 三、建立一个简单的拓扑状态的StatefulSet 3.1 编写statefulSet的YAML文件 3.2 pod对应的域名 3.3 访问测试 3.3.1 安装centos pod 3.3.2 测试 四、稳定的存储 4.1 pv和pvc的关系 4.1.1 pv生命周期 4.1.2 pv回收策略 4.1.3 pv的声明类型 4.2storageClassName.
devstack自动部署openstack之localrc文件及遇到问题解决-->(2)
05-17
接下来继续讲解devstack自动部署OpenStack之localrc文件及遇到问题解决。 4. 配置网络 若你想使用ovs网络,可以在localrc中配置如下: ```bash # ovs bridge name Q_BRIDGE_NAME=br-ex # ovs physical interface name PHYSICAL_INTERFACE_NAME=eth0 # the IP address of the ovs bridge PUBLIC_NETWORK_GATEWAY=192.168.1.1 ``` 5. 配置Horizon 如果你想要使用Horizon,可以在localrc中进行配置: ```bash # enable horizon enable_service horizon # set horizon theme HORIZON_THEME=mytheme ``` 6. 配置Swift 如果你需要使用Swift,可以在localrc中进行配置: ```bash # enable swift enable_service swift # set swift hash SWIFT_HASH=66a3d6b56c1f479c8b4e70ab5c2000f5 ``` 7. 配置Cinder 若你需要使用Cinder,可以在localrc中进行配置: ```bash # enable cinder enable_service cinder c-api c-sch c-vol # set volume group name VOLUME_GROUP="stack-volumes" # set cinder backend driver CINDER_VOLUME_BACKEND=LVM # set cinder volume name CINDER_VOLUME_NAME=cinder-volumes ``` 8. 配置Glance 如果你需要使用Glance,可以在localrc中进行配置: ```bash # enable glance enable_service glance # set Glance backend driver GLANCE_BACKEND=file # set Glance image directory GLANCE_IMAGE_DIRECTORY='/opt/stack/data/glance/images/' ``` 以上是常见的localrc配置,当然你还可以根据自己的需求进行调整和配置。 遇到问题及解决方法: 1. 如果出现了“No module named MySQLdb”错误,需要安装MySQL-python: ```bash sudo apt-get install python-mysqldb ``` 2. 如果出现了“No module named pbr”错误,需要安装pbr: ```bash sudo pip install pbr ``` 3. 如果出现了“Could not determine a suitable URL for the plugin”错误,需要在本地安装git: ```bash sudo apt-get install git ``` 4. 如果出现了“Failed to discover available identity versions”错误,需要检查是否正确配置了keystone的服务地址和端口号。 5. 如果出现了“ERROR:openstack.cli.command:”错误,需要在local.conf中添加如下内容: ```bash # keystone endpoint KEYSTONE_SERVICE_URI=http://127.0.0.1:5000/v2.0/ ``` 本文介绍了devstack自动部署OpenStack之localrc文件及遇到问题解决。希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值