《TS:k8s里pod容器镜像无对root用户目录的操作权限问题解决办法》-2022.4.29(已解决)

最新推荐文章于 2024-05-30 07:37:37 发布
最新推荐文章于 2024-05-30 07:37:37 发布
阅读量2.4k 收藏 4
点赞数
分类专栏: k8s 文章标签: k8s 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39246554/article/details/124501696
版权

案例来源

image-20220429180934433

1、故障现象

  • 现在我们就可以添加 promethues 的资源对象了:
[root@master1 p8s-example]#kubectl apply -f prometheus-deploy.yaml 
deployment.apps/prometheus created

[root@master1 p8s-example]#kubectl get pods -n monitor
NAME                          READY   STATUS             RESTARTS      AGE
prometheus-58f59fd485-7hncv   0/1     CrashLoopBackOff   2 (24s ago)   112s

[root@master1 p8s-example]#kubectl logs  prometheus-58f59fd485-7hncv -nmonitor
ts=2022-04-29T04:42:09.982Z caller=main.go:516 level=info msg="Starting Prometheus" version="(version=2.34.0, branch=HEAD, revision=881111fec4332c33094a6fb2680c71fffc427275)"
ts=2022-04-29T04:42:09.982Z caller=main.go:521 level=info build_context="(go=go1.17.8, user=root@121ad7ea5487, date=20220315-15:18:00)"
ts=2022-04-29T04:42:09.982Z caller=main.go:522 level=info host_details="(Linux 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 prometheus-58f59fd485-7hncv (none))"
ts=2022-04-29T04:42:09.982Z caller=main.go:523 level=info fd_limits="(soft=65536, hard=65536)"
ts=2022-04-29T04:42:09.982Z caller=main.go:524 level=info vm_limits="(soft=unlimited, hard=unlimited)"
ts=2022-04-29T04:42:09.983Z caller=query_logger.go:90 level=error component=activeQueryTracker msg="Error opening query log file" file=/prometheus/queries.active err="open /prometheus/queries.active: permission denied"
panic: Unable to create mmap-ed active query log

goroutine 1 [running]:
github.com/prometheus/prometheus/promql.NewActiveQueryTracker({0x7ffe09113e00, 0xb}, 0x14, {0x3637a40, 0xc0002032c0})
        /app/promql/query_logger.go:120 +0x3d7
main.main()
        /app/cmd/prometheus/main.go:569 +0x6049

image-20220429124328767

创建 Pod 后,我们可以看到并没有成功运行,出现了 open /prometheus/queries.active: permission denied 这样的错误信息,这是因为我们的 prometheus 的镜像中是使用的 nobody 这个用户,然后现在我们通过 LocalPV 挂载到宿主机上面的目录的 ownership 却是 root

[root@node1 ~]#ls -la /data/k8s
total 0
drwxr-xr-x 3 root root 24 Apr 29 09:57 .
drwxr-xr-x 3 root root 17 Apr 29 09:57 ..
drwxr-xr-x 2 root root  6 Apr 29 09:57 prometheus

2、解决办法

所以当然会出现操作权限问题了,这个时候我们就可以通过 securityContext 来为 Pod 设置下 volumes 的权限,通过设置 runAsUser=0 指定运行的用户为 root;也可以通过设置一个 initContainer 来修改数据目录权限(本次使用后面这种方法):

[root@master1 p8s-example]#vim prometheus-deploy.yaml 
......
initContainers:
- name: fix-permissions
  image: busybox
  command: [chown, -R, "nobody:nobody", /prometheus]
  volumeMounts:
  - name: data
    mountPath: /prometheus

image-20220429180831774

  • 这个时候我们重新更新下 prometheus:
[root@master1 p8s-example]#kubectl apply -f prometheus-deploy.yaml
deployment.apps/prometheus configured

[root@master1 p8s-example]#kubectl get pods -n monitor
NAME                          READY   STATUS    RESTARTS   AGE
prometheus-849c8456c7-dz6rt   1/1     Running   0          54s


[root@master1 p8s-example]#kubectl logs prometheus-849c8456c7-dz6rt  -nmonitor
……
ts=2022-04-29T05:00:09.184Z caller=main.go:1142 level=info msg="Loading configuration file" filename=/etc/prometheus/prometheus.yml
ts=2022-04-29T05:00:09.185Z caller=main.go:1179 level=info msg="Completed loading of configuration file" filename=/etc/prometheus/prometheus.yml totalDuration=1.128855ms db_storage=1.302µs remote_storage=5.18µs web_handler=721ns query_engine=2.705µs scrape=773.91µs scrape_sd=66.725µs notify=1.443µs notify_sd=2.966µs rules=4.859µs tracing=20.118µs
ts=2022-04-29T05:00:09.185Z caller=main.go:910 level=info msg="Server is ready to receive web requests."

image-20220429130211081

is ready to receive web requests."


[外链图片转存中...(img-OF6k5SR6-1651227063367)]
一念一生~one
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gtk3-runtime-3.24.29-2021-04-29-ts-win64.exe
07-10
gtk3-runtime-3.24.29-2021-04-29-ts-win64.exe
Bluetooth® Test Specification_RF-PHY.TS.5.0.1
08-28
详细讲述了BR、EDR、BLE的RF测试用例,包含测试参数设置和测试标准。2017年7月最后更新。
k8spod目录访问权限不足
kylezhou1992的博客
06-24 7938
分析pod权限目录挂载权限问题
root用户管理k8s和docker容器
因上努力,果上随缘。但行好事,莫问前程。
06-02 2142
1.2 修改集群配置 OPS机器关联kubectl进行如下操作root用户执行: ops用户执行: 1.3 验证 二、非root用户管理docker 由于docker软件安装好之后,自动会创建好docker用户组,所以这只需要创建好管理docer容器用户就好。 首先来看一下正常的普通用户管理docker是什么样的切换dev用户执行docker命令,报错如下: 现在我们把ops用户加入docker用户组中 接下来切换ops用户来查看一下效果:
K8s- 运行Pod时的root用户和非root用户的安全相关配置
最新发布
dzqxwzoe的博客
05-30 1013
1 )概述2 )正常场景whoamiid -uhostname3 )启用 privilegedhostname4 )在 yaml 中配置 securityContext 和 privileged。
pod使用ping或者permission denied等权限问题
落雪映青衣的博客
08-01 2767
k8s Security Context配置
k8spod操作文件权限不够怎么办
weixin_42605397的博客
02-15 1634
如果您在 Kubernetes(k8s)Pod 中的操作权限不足,您可以尝试以下解决方法: 使用 kubectl exec 命令以 root 用户身份进入 Pod 中,例如: kubectl exec -it <pod-name> -- /bin/bash ...
POD无hostPath类型存储卷写权限问题
勿在浮沙筑高
03-06 570
POD无hostPath类型存储卷写权限问题
解决gedit: symbol lookup error: /home/xxx/libgobject-2.0.so.0: undefined symbol: g_date_copy问题
01-20
在本文中,我们将探讨一个与Linux系统中软件依赖和库版本相关的问题,特别是关于gedit文本编辑器在Ubuntu 16.04上遇到的"symbol lookup error"。该问题通常发生在尝试执行gedit或某些其他应用程序时,由于库文件不...
PD ISO TS 32002-2022.rar
08-26
标题 "PD ISO TS 32002-2022.rar" 提示我们这是一个压缩文件,其中包含的文档可能与ISO技术规范有关。描述中同样提到“PD ISO TS 32002-2022”,进一步确认了这个压缩包的内容。尽管标签部分为空,但从文件名我们...
鼎威Ts7V12.1.1-20230323.174249-AUTOUI(magisk)已root
03-18
AUTOUI(magisk)已root”表明这是一款名为鼎威Ts7的设备,其系统版本为V12.1.1,并且在2023年3月23日的17时42分49秒进行了更新,特别的是,这个版本已经集成了" AUTOUI"功能和Magisk框架,并且设备已经获得了root...
最新完整版标准 ISO IEC 27002-2022.pdf
04-13
最新完整版标准 ISO IEC 27002-2022.pdf
TS-45-彩盒-2022.12.22.ai
12-22
TS-45-彩盒-2022.12.22.ai
PD ISO TS 5111-2022.pdf
12-10
PD ISO TS 5111-2022.pdf
IEC TS 63349-2-2022.pdf
02-18
IEC TS 63349-2-2022.pdf
解决vue-cli@3.xx安装不成功的问题及搭建ts-vue项目
10-15
主要介绍了解决vue-cli@3.xx安装不成功的问题及搭建ts-vue项目.文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Prometheus踩坑记
MyySophia的博客
09-08 1599
注意: Prometheus 的本地存储不支持非 POSIX 兼容的文件系统,因为可能会发生不可恢复的损坏。仔细观察prometheus status的endpoint,因为当一个node上有多个跳转到指定的target,这其实涉及Prometheus 配置抓取多个 Redis 实例的问题,我遇到的问题就属于这个问题.随着监控节点的扩充,prometheus的存储面临巨大压力,毕竟因为没有得到机器的支持,属于自己用virtualbox从闲置服务器上开辟出来的资源. 但是还要负责监控生产环境的众多机器.
Prometheus+Grafana+Alertmanager监控系统
Wielun
05-21 3108
官网:https://prometheus.io项目代码:https://github.com/prometheusPrometheus(普罗米修斯)是一个最初在SoundCloud上构建的监控系统。自2012年成为社区开源项目,拥有非常活跃的开发人员和用户社区。为强调开源及独立维护,Prometheus于2016年加入云原生云计算基金会(CNCF),成为继Kubernetes之后的第二个托管项目。
k8s集群中以root用户进入容器
weixin_35750483的博客
02-15 1827
在Kubernetes集群中,建议不要使用root用户运行容器,因为这可能会导致安全问题。但是,如果您真的需要以root用户身份进入容器,可以使用以下步骤: 找到要进入的容器的名称或ID。可以使用以下命令列出所有运行中的容器: kubectlget pods ...
TS报错Uncaught ReferenceError: exports is not defined at 02-basis.js:2:23的解决办法
05-30
解决这个问题的方法有两种: 1. 使用 ES6 的模块化语法 在你的 TypeScript 代码中,可以使用 ES6 的模块化语法来导出和导入模块。例如,你可以使用 `export` 关键字来导出模块: ```typescript export function myFunction() { // ... } ``` 然后,在其他文件中,可以使用 `import` 关键字来导入模块: ```typescript import { myFunction } from './my-module'; ``` 使用 ES6 的模块化语法可以避免在浏览器中出现 `exports is not defined` 的错误。 2. 使用打包工具 如果你不想使用 ES6 的模块化语法,可以使用打包工具(如 webpack、Browserify 等)将你的 TypeScript 代码打包成浏览器可以运行的代码。这些打包工具会将你的 CommonJS 模块转换成浏览器可以识别的代码。 例如,如果你使用 webpack 打包你的 TypeScript 代码,可以在 webpack 配置文件中添加以下配置: ```javascript module.exports = { // ... target: 'web', output: { libraryTarget: 'umd', globalObject: 'this' } } ``` 这个配置将会把你的代码打包成一个 UMD 模块,这样就可以在浏览器环境中使用 CommonJS 的语法了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值