我对 Kubernetes 有一个大问题,对 PVC 也有权限问题。
这是我的 NFS 导出行:
/srv/nfs4 192.168.1.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)
/srv/nfs4/k8s 192.168.1.0/24(rw,sync,no_subtree_check,insecure,no_root_squash)
这是 ls 中的目录。
david@dell-nfs:/srv/nfs4$ ls -la
total 32
drwxr-xr-x 8 root root 4096 Sep 14 19:08 .
drwxr-xr-x 3 root root 4096 Aug 9 15:48 ..
drwxr-xr-x 9 root systemd-coredump 4096 Oct 20 15:58 k8s
我的问题是我正在使用动态 PVC 配置程序(在 NFS 共享中创建唯一的文件夹,如下所示:
david@dell-nfs:/srv/nfs4/k8s$ ls -la
total 36
drwxr-xr-x 9 root systemd-coredump 4096 Oct 20 15:58 .
drwxr-xr-x 8 root root 4096 Sep 14 19:08 ..
drwxrwxrwx 3 david david 4096 Oct 20 15:53 pvc-5384721a-0ab7-435c-9cac-22183861b5c5
drwxrwxrwx 3 1001 systemd-coredump 4096 Oct 20 15:40 pvc-55df0dda-5ed5-4f6d-9979-41b53c451bea
drwxrwxrwx 14 root root 4096 Oct 20 15:49 pvc-7fc0e511-f2fe-4cde-bfff-589728f219c5
drwxrwxrwx 3 david david 4096 Oct 20 15:53 pvc-87e83254-9c86-4df9-a1bd-fc4cbdd90bcd
drwxrwxrwx 2 root root 4096 Oct 20 15:49 pvc-9aa60ede-8e5a-463d-a5f4-ce07d9019203
但是,由于 PVC 是通过我的 Kubernetes 配置创建的,因此使用 Pod 的权限被拒绝,无法将内容添加到唯一的文件夹中。我修改了一个 Helm 安装并放松了安全性,一切顺利。为了在裸机上配置整个集群,我chmod -R 777在 Ansible 安装期间拥有每个唯一的 PVC 目录。我知道这是错误的。
我的问题是:我是否已经在 NFS/Linux 方面尽了一切努力来帮助解决这种情况?我在家工作,我们的集群和技术堆栈正在 AWS、GCE 和 Azure 上安装。我是一名架构师,使用 NFS 作为我的 EDS(AWS 持久性),例如,所以我想知道我是否已尽一切努力来放松 NFS 服务器上的安全性?
PS 我的下一个研究将是针对每个技术堆栈项目的 Kubernetes 和 Ansible 角色安装。我的动态 NFS 配置程序运行良好,但如果启动时的 Pod 无法写入我的单个 NFS 共享,那么我就完蛋了。