OpenShift 4 - 提权运行容器

最新推荐文章于 2023-02-27 17:04:21 发布
最新推荐文章于 2023-02-27 17:04:21 发布
阅读量642 收藏 2
点赞数
分类专栏: OpenShift 4 安全 文章标签: openshift
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/107304082
版权

OpenShift 4.x HOL教程汇总
说明:本文已经在OpenShift 4.9环境中验证

Docker缺省可以使用root身份运行容器中服务。出于安全,这在OpenShift中缺省是不被允许的。不过可以通过设置OpenShift的SCC的缺省配置,来运行这种不能正常运行的容器镜像。

  1. 运行HTTP容器
$ oc new-project http
$ oc new-app --docker-image=httpd:2.4.17
  1. 查看pod状态,确认已经是“CrashLoopBackOff”状态。
$ oc get pod -w
NAME             READY   STATUS      		RESTARTS   AGE
httpd-1-deploy   0/1     Completed   		0          5s
httpd-1-frz4v    1/1     Running     		0          3s
httpd-1-frz4v    0/1     Error       		0          4s
httpd-1-frz4v    0/1     Error       		1          5s
httpd-1-frz4v    0/1     CrashLoopBackOff   1          6s
  1. 查看pod的日志,确认它缺省是运行80端口上。但是由于需要有root权限,所以提示“Permission denied”。
$ oc log pod/httpd-1-frz4v
…
(13)Permission denied: AH00072: make_sock: could not bind to address [::]:80
(13)Permission denied: AH00072: make_sock: could not bind to address 0.0.0.0:80
no listening sockets available, shutting down
  1. 为http项目提权。
$ oc adm policy add-scc-to-user anyuid -z default -n http
securitycontextconstraints.security.openshift.io/anyuid added to: ["system:serviceaccount:http:default"]
  1. 删除出问题的Pod
$ oc delete pod httpd-1-frz4v
  1. 查看自动部署的新Pod实例,确认已经是Running状态。
$ oc get pod 
NAME             READY   STATUS      RESTARTS   AGE
httpd-1-deploy   0/1     Completed   0          2m46s
httpd-1-mwx4x    1/1     Running     0          13s
dawnsky.liu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
运行在笔记本上的OpenShift4环境
老菜的博客
06-21 576
Red Hat CodeReady Containers(crc)用于在笔记本/台式机上构建一个最小化的 OpenShift4 开发/测试环境。 开箱即用,网络顺畅的话,10分钟就可以搞定。支持win10,macos,linux。将虚拟机和运行在虚拟机中的 OpenShift 打包提供给用户。 基本介绍 硬件需求 4 physical CPU cores 9 GB of free memory 35 GB of storage space 支持操作系统版本 Windows Windows 10 Fall
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
理解OpenShift(4):用户及权限管理
weixin_34212189的博客
12-08 975
理解OpenShift(1):网络之 Router 和 Route 理解OpenShift(2):网络之 DNS(域名服务) 理解OpenShift(3):网络之 SDN 理解OpenShift(4):用户及权限管理 理解OpenShift(5):从 Docker Volume 到 OpenShift Persistent Volume   ** 本文基于 OpenShift 3.11...
OpenShift 4 - 全图形化 Step-by-Step 部署容器应用(附视频)
多恩斯基的博客
04-01 2093
文章目录webbackendmongodbhealth参考 parks-workshop web quay.io/openshiftroadshow/parksmap backend http://nationalparks-parks-workshop.apps.cluster-b327.b327.sandbox824.opentlc.com/ws/info/ mongodb $ oc create -n openshift -f https://raw
OpenShift 4 - 基于Memory的HPA
多恩斯基的博客
04-04 321
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.6环境中验证 安装并发压力工具 $ yum install httpd 部署测试应用和HPA $ oc new-project memory-hpa $ oc apply -f manifests/frontend.yaml $ oc create -f manifests/frontend-v1-memory-hpa.yaml 对应用并发压力测试 $ ab -n 10000 -c 40 https://
OpenShift 4 - 了解Secret
多恩斯基的博客
09-30 1219
文章目录关于Secret对象三种途径创建Secret对象Secret对象的结构创建Secret对象一般结构Secret通过命令创建Secret通过YAML创建Secret属于dockerconfigjson或dockercfg类型的pull-secretbasic-auth类型secretssh-auth类型secret引用或使用Secret中内容在Pod中通过挂载存储使用Secret在Pod中通过环境变量使用Secret在Pod中使用pull_secret在ServiceAccount中使用secret和
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift4-upi-openstack
05-08
OpenStack上的OpenShift 4 UPI Ansible角色,用于将OpenShift 4的用户提供的基础架构安装方法的必要任务自动化到自定义OpenStack 基于原始的变数安装的默认变量位于defaults/main.yml执照BSD
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
openshift-4-ops-training
04-16
OpenShift 4操作培训 OpenShift 4 Ops培训说明 内容栏目 培训内容位于目录中。 主要部分是实验,可以在。 雨果 该站点是使用静态页面生成器构建的。 该页面使用,该包含在Git子模块中。 针对品牌特定设置,使用...
安装程序:安装OpenShift 4.x集群
02-16
OpenShift安装程序 支持平台 (仅开发) 快速开始 首先,安装所有。 克隆此存储库。 然后使用以下命令构建openshift-install二进制文件: hack/build.sh 这将创建bin/openshift-install 。 然后可以调用此二进制文件来创建OpenShift集群,如下所示: bin/openshift-install create cluster 安装程序将显示一系列提示,提示用户特定信息,并对所有其他内容使用合理的默认值。 在非交互式上下文中,可以通过来绕过提示。 如果遇到问题,请参阅。 连接到集群 完成时, openshift-install二进制文件将打印有关连接到新集群的详细信息,这些文件也可在.openshift_install.log文件中找到。 输出示例: INFO Waiting 10m0s for the opens
OPENSHIFT-4-执行命令-实验
拙能胜巧
11-08 637
1.检查机器并确认环境正常。登陆OCP。创建项目。 2.获取所有的资源列表信息。 3.查看pod的日志,显示出现错误。 4.获取事件信息并按照指定规则排序,显示在抓取镜像的时候发生错误,详细显示pod的信息。 5.获取镜像文件的配置信息并以yaml格式输出,找到容器所包含的镜像。 6.查看pod列表信息,仍然node2节点在等待容器创建。登陆到node2节点,手动抓取镜像。 7.登陆到...
OpenShift 4 - 配置OpenShift集群日志环境EFK
多恩斯基的博客
04-17 1552
文章目录安装Elastic Search Operator安装Cluster Logging Operator查看Kibana OpenShift 4 缺省安装完是没有提供基于ElasticSesrch-Fluentd-Kibana(EFK)的集群日志环境。我们可以通过以下步骤在OpenShift上配置出基于EFK的集群日志运行环境。 安装Elastic Search Operator 以下步骤采...
OpenShift 4 - 使用辅助安装器安装单节点 OpenShift (视频)
多恩斯基的博客
02-27 1425
我们可以在虚机或裸机上安装单节点 OpenShift,其中在 Far Edge 环境中运行更适合裸机部署单节点 OpenShift,而 Development 或 Testing 环境可以用虚机部署单节点 OpenShift。在虚机中安装好的单节点 OpenShift 同红帽的 OpenShift Local 环境非常相近,它们都是运行在虚机中,而且都是只有一个节点。OpenShift 辅助安装器既可用来安装单节点 OpenShift,也可用来安装标准的多节点 OpenShift 集群。
OpenShift 4 - RBAC基于Role的访问授权
多恩斯基的博客
08-06 1267
文章目录RBAC相关概念Role隶属于集群的Role(Cluster Role)隶属于项目的Role(Local Role)RoleBinding查看用户的RBAC参考 RBAC相关概念 在OpenShift中和RBAC(基于角色的访问控制)包括以下相关对象。 身份主体(Subject):一个user、group或serviceaccount。 规则(Rule):定义了对于指定object可以做的操作(操作包括:get, list, create, update, delete, deletecollect
OpenShift 4 之使用持久化存储
多恩斯基的博客
12-07 909
没使用持久化存储 创建一个项目,然后在其中部署一个应用,再生成应用的Route,最后获取Route访问地址。 $ oc new-project my-storage $ oc new-app https://github.com/liuxiaoyu-git/image-uploader.git $ oc expose svc image-uploader $ oc get route imag...
OPENSHIFT-4-执行命令-一般性问题排错
拙能胜巧
11-08 505
1.首先检查机器并确认环境正常。登陆OCP。创建一个项目。 2.创建一个应用。查看带有php标签的相关状态,发现显示镜像无法找到,而前面的说明里有镜像的对应路径。重新创建一个应用。获取pod列表信息。 3.查看pod的日志,发现没有输出显示。 4.查看事件列表,发现有记录显示pod处于failed状态。 5.登陆master节点查看节点状态,发现node1和node2都是notready状...
OpenShift 4 之获取版本升级路径图
多恩斯基的博客
12-08 990
OpenShift 4 之获取版本升级路径图安装graphviz和jq工具生成OpenShift 4升级路径图 安装graphviz和jq工具 在/etc/yum.repo目录下新建graphviz.repo文件,将以下yum源内容添加到文件中。 [atomic] name = CentOS / Red Hat Enterprise Linux $releasever - atomic mir...
开源容器openshift学习笔记(4):添加Template(模板)
liuchuanliang的博客
10-26 1086
开篇之前如果没有安装openshift环境可以参考我的博文:centos7下安装openshift 本系列博客学习笔记参考《开源容器openshift》一书:下载连接:https://download.csdn.net/download/u012371097/10745382 部署容器应用,可以很简单: 直接通过 docker run 或 oc new- app 命令即可完成。但是有时候它也...
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值