k8s 容器内操作报Permission defined,以root运行容器,定义Pod的特权和访问控制权限

最新推荐文章于 2024-05-30 07:37:37 发布
最新推荐文章于 2024-05-30 07:37:37 发布
阅读量1w 收藏 11
点赞数 4
分类专栏: 运维 kubernetes 文章标签: docker kubernetes linux filebeat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32352777/article/details/124685796
版权

目录

前言

查阅官方文档,找答案

解决方案

前言

当我们通过Pods、Daemon Sets、Deployments等方式运行pod时,大部分镜像容器默认是无特权的运行,独立用户运行的,以elastic/filebeat为例,查看用户和用户组:

可以看到默认是使用uid=1000的filebeat用户,当我们想在容器中创建文件、或者修改文件就会提示Permission defined,如下图所示:

我们可以看到filebeat用户没有写的权限,如果要解决这个问题我们可以通过指定Pod运行时使用的用户,或者修改对应目录的权限,或者其他方式,这里我介绍一下如何Pod如何指定用户启动。

查阅官方文档,找答案

通过k8s官网文档我们可以查阅到通过spec.securityContext为 Pod 设置安全性上下文,该Pod定义如下:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - name: sec-ctx-demo
    image: busybox:1.28
    command: [ "sh", "-c", "sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo
    securityContext:
      allowPrivilegeEscalation: false

官网解释如下:

在配置文件中,runAsUser 字段指定 Pod 中的所有容器内的进程都使用用户 ID 1000 来运行。runAsGroup 字段指定所有容器中的进程都以主组 ID 3000 来运行。 如果忽略此字段,则容器的主组 ID 将是 root(0)。 当 runAsGroup 被设置时,所有创建的文件也会划归用户 1000 和组 3000。 由于 fsGroup 被设置,容器中所有进程也会是附组 ID 2000 的一部分。 卷 /data/demo 及在该卷中创建的任何文件的属主都会是组 ID 2000。

 因此我们可以知道:通过runAsUser、fsGroup、runAsGroup三个配置项可以为Pod指定用户,那么我们可以通过将uid、gid、groups都指定为0这样就达到以root用户启动容器的效果了。

解决方案

完整配置如下:

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 0
    runAsGroup: 0
    fsGroup: 0
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - name: sec-ctx-demo
    image: busybox:1.28
    command: [ "sh", "-c", "sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo
    securityContext:
      allowPrivilegeEscalation: false

这里我们只需要将spec.securityContext的三个配置子项配置到我们自己的容器yaml文件中重启就实现通过root运行pod的效果了。

基于前言的示例,我们修改配置后再次查看容器运行的用户,结果如下:

 可以看到当前Pod默认就以root用户运行,通过cat /etc/group查看发现依然有filebeat的用户,所以成功完成的指定用户运行容器的效果。

参考文档

为 Pod 或容器配置安全上下文 | Kubernetes

昌杰的攻城狮之路
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S用户权限管理工具permission-manager-v1.6.0
12-13
"permission-manager-v1.6.0"是一个专为K8S设计的用户权限管理工具,它帮助管理员更好地控制和管理用户对Kubernetes资源的访问。本文将深入探讨该工具的工作原理、功能特点以及如何在实际环境中应用。 首先,了解K8...
Android权限操作之uses-permission详解
09-01
`permission`标签则是用来定义定义权限,这在需要控制第三方应用对特定功能的访问时会用到。`permission-group`则可以将多个权限归为一类,便于向用户呈现权限请求时的逻辑分组。`permission-tree`则是在一个命名...
Django restframework permission 权限
水野与小太郎的博客
12-05 1124
权限一般与认证放到一起,权限检查一般是检查 request.user 和 request.auth属性中的身份验证信息来确定是否允许传入请求。权限用于授予或拒绝不同类别的用户对不同API的访问。最简单的权限是允许所有经过身份认证的用户,这对应着IsAuthenticated类。 如何确定权限 REST框架中的权限和认证一样:为权限类列表。 在运行视图主体之前,将检查列表中的每个权限。如...
k8s集群中以root用户进入容器
weixin_35750483的博客
02-15 1811
Kubernetes集群中,建议不要使用root用户运行容器,因为这可能会导致安全问题。但是,如果您真的需要以root用户身份进入容器,可以使用以下步骤: 找到要进入的容器的名称或ID。可以使用以下命令列出所有运行中的容器: kubectlget pods ...
K8s- 运行Pod时的root用户和非root用户的安全相关配置
最新发布
dzqxwzoe的博客
05-30 994
1 )概述2 )正常场景whoamiid -uhostname3 )启用 privilegedhostname4 )在 yaml 中配置 securityContext 和 privileged。
k8s容器pod进入指定容器
qq_15138049的博客
12-24 3000
k8s容器pod
K8s权限管理
a13568hki的博客
04-29 4225
RBAC 使用 RBAC 鉴权。基于角色(Role)的访问控制(RBAC)是一种基于企业中用户的角色来调节控制对计算机或网络资源的访问方法。 RBAC 使用 rbac.authorization.k8s.io API 组 来驱动鉴权操作,允许管理员通过 Kubernetes API 动态配置策略。 在 1.8 版本中,RBAC 模式是稳定的并通过 rbac.authorization.k8s.io/v1 API 提供支持。 要启用 RBAC,在启动 API 服务器时添加 --authorization-mo
python提示permission defined的问题
xcj1409385086的博客
05-29 1667
python保存时提示permission defined的问题(权限不足,无法对文件进行操作) 一:win10用户首先获取管理员权限. ①开始→运行→输入:control userpasswords2 回车执行; ②打开用户账户→用户→点选当前账户进行设置; ③组成员→点选管理员(具备Administrator账户的权限)→确定。 二:如果是标准用户转成超级管理员则在此处会提示输入密码,但是并没有输入框,这时候需要进入安全模式(都是对于win10用户) 1.进入安全模式:在左下角设置-电源,按住shift
定义权限permission
zxx13708027950的博客
12-09 741
定义权限permission_user_defined是用来保护我们一些重要的组件不被其他应用轻易访问。 1、这里先看一下我们怎么访问同一设备下的其他应用 a、先要找到其他应用的Activity的全名(包名.类名) b、把得到的Activity加载到Intent中启动Intent 这样就访问到其他应用的Activity了(如下代码:) package zxx.user_defined;
Android 权限permission)整理
09-02
在Android应用开发中,权限管理是至关重要的,因为它决定了应用程序能够访问和操作哪些系统资源和服务。Android系统采用了一种基于权限访问控制机制,确保了应用的安全性和用户的隐私。以下是一些主要的Android...
Spring Boot 通过AOP和自定义注解实现权限控制的方法
08-25
Spring Boot 通过 AOP 和自定义注解实现权限控制的方法 在本文中,我们将探讨如何使用 Spring Boot 通过 Aspect-Oriented Programming(AOP)和自定义注解来实现权限控制。权限控制是任何应用程序的重要组件,它...
Springboot和bootstrap实现shiro权限控制配置过程
08-19
3. 配置Shiro的Permission:Shiro的Permission权限控制的基本单位,定义了用户的操作权限。在SpringBoot中,可以使用Shiro的Permission实现类来配置Permission。 4. 配置Shiro的Role:Shiro的Role是权限控制的角色...
linux Permission defined 错误解决方案
m0_46258409的博客
01-26 1362
阿里云 linux登录问题1. ssh 登录问题2. useradd 添加不了用户 1. ssh 登录问题 如果密码正确,用户正确,vpn登录 vim /etc/ssh/sshd_config # 增加如下参数 PermitRootLogin yes :wq 然后成功 2. useradd 添加不了用户 useradd: cannot open /etc/passwd [root@DBASIMQ02 ~]# lsattr /etc/passwd ----i----------- /etc/passw
【转载】nodePort: Invalid value valid ports is 30000-32767
jstang的博客
09-05 5514
原文链接:https://blog.csdn.net/wljk506/article/details/91869648 kubernetes 版本 1.14.3 provided port is not in the valid range. The range of valid ports is 30000-32767 在 Kubernetes(k8s) 创建 service 使用nodePor...
K8s: 运行Pod时的root用户和非root用户的安全相关配置
Wang的专栏
04-19 1710
docker 容器运行起来,默认是 root 用户 这样运行起来后,基本不会遇到权限相关问题 带来的问题是: 权限过大,被攻击后会遇到严峻挑战 基于这个问题,K8s提出了特权用户的概念 在容器启动时,虽然启动的是 root 用户,但是不具备所有root功能 只是一个映射的root用户,如果不开启 privilege 试图修改系统关键信息 是会错的,加上 --privilege 之后,就是一个特权用户,就可以进行修改
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2429
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
k8s不求甚解系列:POD特权模式
weixin_38757398的博客
12-04 2920
本文描述了k8s中的特权pod的相关定义、使用场景。在文章的后半段给出了一份笔者的实践过程,期望能够带给读者启发
Kubernetesroot用户运行pod
hqing159的博客
11-06 9790
Kubernetesroot用户运行pod 首先找到你需要进入对应namespace的pod名 kubectl get pod 找到pod所在的节点以及容器id kubectl describe podpod名” 在所给信息中找到以下字段: Node:所查pod所在的节点 Container ID:所查pod容器id,形如docker://...,注意Container ID 不包括docker:// ssh到pod对应节点 以root用户权限进入pod docker e
k8s学习(六)Deployment的使用
码易的博客
12-22 789
目录前言一、chang二、使用步骤1.引入库2.读入数据总结 前言 Deployment 为 Pod 和 ReplicaSet 提供了一个声明式定义。 一、chang 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warnings.filterwarnings('ignore') ..
k8s指定root用户进入pod
07-28
Kubernetes中,可以通过设置Pod的securityContext来指定以root用户身份进入Pod。具体做法是在Pod的spec中添加securityContext字段,并设置runAsUser为0,如下所示: ``` apiVersion: v1 kind: Pod metadata: name: root-user-pod spec: securityContext: runAsUser: 0 containers: - name: my-container image: my-image command: \["sleep", "3600"\] ``` 在上述示例中,我们通过设置runAsUser为0,将容器root用户身份启动。这样,容器内的进程将具有root权限。 需要注意的是,以root用户身份运行容器可能存在安全风险,因此应谨慎使用,并确保只在必要的情况下才使用root用户。 #### 引用[.reference_title] - *1* *2* *3* [k8s 容器操作Permission defined,以root运行容器定义Pod特权访问控制权限](https://blog.csdn.net/qq_32352777/article/details/124685796)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值