正如标题所述,我需要一个无根 podman 容器来从主机(Fedora CoreOS,SELinux 处于活动状态)计算机访问 SSL 密钥(当然是用 certbot 创建的),因为主机上的主服务器将在该容器中运行。但是,将密钥的权限设置得太宽松或总体上错误显然是不好的,那么我该怎么办?
我是否应该将密钥上的组设置为containerspodman 容器所在的组,并允许该组对密钥进行读取访问?这似乎是正确的做法,但如果是这样,我不知道如何更改密钥的所有者,因为chown不起作用。
答案1
取自本教程
- 在主机中创建一个目录来存储 SSL 证书和密钥。
- 将 SSL 证书和密钥复制到步骤 1 中创建的目录。
- 创建一个 Podman 容器,其中包含使用 SSL 证书和密钥所需的软件。
- 将步骤1中创建的目录挂载到Podman容器。
- 配置 Podman 容器中的软件以使用 SSL 证书和密钥。
步骤 1 和 2 如下所示:
mkdir /mnt/certs
cp /etc/mycerts/mycert.pem /mnt/certs
cp /etc/mycerts/privkey.pem /mnt/certs
3 和 4 可以合并为一步。例如:
podman run -d --name nginx -v /mnt/certs:/etc/nginx/certs:z nginx
创建一个安装了 nginx 的 pod,并将主机 /mnt/certs 挂载到 pods /etc/nginx/certs
这样,您的证书就有一份独立的副本,由主机维护但安装在您的 pod 中。