Question

, когда я пытаюсь создать pods с некорневой fsgroup (здесь 2000)

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 1000
    fsGroup: 2000
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - name: sec-ctx-demo
    image: gcr.io/google-samples/node-hello:1.0
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo
    securityContext:
      allowPrivilegeEscalation: true

ошибка удара

Error from server (Forbidden): error when creating "test.yml": pods "security-context-demo" is forbidden: pod.Spec.SecurityContext.RunAsUser is forbidden

Версия

root@ubuntuguest:~# kubectl  version
Client Version: version.Info{Major:"1", Minor:"10", GitVersion:"v1.10.2", GitCommit:"81753b10df112992bf51bbc2c2f85208aad78335", GitTreeState:"clean", BuildDate:"2018-04-27T09:22:21Z", GoVersion:"go1.9.3", Compiler:"gc", Platform:"linux/amd64"}
Server Version: version.Info{Major:"1", Minor:"10", GitVersion:"v1.10.2", GitCommit:"81753b10df112992bf51bbc2c2f85208aad78335", GitTreeState:"clean", BuildDate:"2018-04-27T09:10:24Z", GoVersion:"go1.9.3", Compiler:"gc", Platform:"linux/amd64"}

Можетлюбой помочь мне, как установить ClusterRoleBinding в кластере.

Ravichandra · Answer 1 · 04 сентября 2018

Необходимо отключить входные плагины SecurityContextDeny при настройке Kube-API

На главном узле

ps -ef | grep kube-apiserver

И проверьте включение плагинов

--enable-admission-plugins=LimitRanger,NamespaceExists,NamespaceLifecycle,ResourceQuota,ServiceAccount,DefaultStorageClass,MutatingAdmissionWebhook,DenyEscalatingExec

Ссылка: SecurityContextDeny

Nick.Jane · Answer 2 · 15 июля 2019

cd /etc/kubernetes

cp apiserver.conf apiserver.conf.bak

vim apiserver.conf

найдите SecurityContextDeny ключевых слов и удалите их.

:wq 

systemctl restart kube-apiserver

затем исправил

code · Answer 3 · 06 июня 2018

Если проблема действительно связана с разрешениями RBAC, то вы можете попробовать создать ClusterRoleBinding с ролью кластера, как описано здесь .

Вместо последнего шага в этом посте (используятокен аутентификации для входа на панель мониторинга), вам нужно будет использовать этот токен и конфигурацию в клиенте kubectl при создании модуля.

Для получения дополнительной информации об использовании контекстов, кластеров и пользователей посетите здесь

Kubenates RunAsUser запрещено

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Kubenates RunAsUser запрещено

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы