scdf 2.1 k8s config security context не root нет fs для записи - PullRequest
Новая
       35

scdf 2.1 k8s config security context не root нет fs для записи

0 голосов
/ 04 июля 2019

Мне нужно настроить модули scdf2 skipper, scdf и app для запуска без рута и без записи в модуль файловой системы.

я внес изменения в данные конфигурации yamls: application.yaml: | - spring: cloud: Skipper: сервер: платформа: kubernetes: account: default:
namespace: default deployServiceAccountName: scdf2-server-data-Поток securityContext: runAsUser: 2000 allowPrivilegeEscalation: ложные ограничения: Colla

И запуск scdf выполняется с пользователем "2000" (существует проблема с записываемым локальным репозиторием Maven, исправленным с помощью nvs из pvc) ...

Но модули приложения всегда запускаются как пользователь root, а не 2000 пользователей.Я изменил конфигурацию шкипера с помощью securitycontext, .. какие-нибудь подсказки?

TX

Ответы [ 2 ]

0 голосов
/ 08 июля 2019

Мы получили это.Мы используем его при развертывании скиппа / scdf, а не при развертывании pods.Ваш запрос:

В развертывание Scdf / Skipper cfg получено: 

spec:
   containers:
     - name: {{ template "scdf.fullname" . }}-server
       image: {{ .Values.server.image }}:{{ .Values.server.version }}
       imagePullPolicy: {{ .Values.server.imagePullPolicy }}
       volumeMounts:
       ...
     serviceAccountName: {{ template "scdf.serviceAccountName" . }}

Скажите ли вы изменить конфигурационную карту scdf / Skipper для задачи и потоков?Другое свойство в или перед конфигурацией о развертывании

Какое отношение имеет отношение к "serviceaccount" и пользователю, запускающему процесс в pod?Как связана учетная запись службы с запущенным пользователем процесса "2000"

Не могу понять.

Помогите, пожалуйста, очень важно работать без рута и не использовать локальную файловую систему из pod за исключением файлов "tmp"

0 голосов
/ 05 июля 2019

То, что вы задали как deploymentServiceAccountName, является одним из свойств развертывателя Kubernetes , которые можно использовать для развертывания потоковых приложений или запуска приложений задач.

Похоже, вышеупомянутая конфигурация не применяетсяк свойствам конфигурации сервера SCDF или Skipper, так как они должны, по крайней мере, применяться при развертывании приложений.

Для серверов SCDF и серверов Skipper в конфигурациях развертывания сервера SCDF / Skipper необходимо явно указать свой serviceAccountName (не так как deploymentServiceAccountName, как следует из его названия, deploymentServiceAccountName внутренне преобразуется в фактический serviceAccountName для соответствующих приложений потоков / задач при их развертывании).

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...