Kubernetes：如何设置 VolumeMount 用户组和文件权限

我正在使用 kops 在 AWS 上运行 Kubernetes 集群。我已将 EBS 卷安装到容器上，它在我的应用程序中可见，但它是只读的，因为我的应用程序没有以 root 身份运行。如何以 root 以外的用户身份安装 PersistentVolumeClaim ？ VolumeMount 似乎没有任何选项来控制挂载路径的用户、组或文件权限。

这是我的部署 yaml 文件：

 apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: notebook-1
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: notebook-1
    spec:
      volumes:
      - name: notebook-1
        persistentVolumeClaim:
          claimName: notebook-1
      containers:
      - name: notebook-1
        image: jupyter/base-notebook
        ports:
        - containerPort: 8888
        volumeMounts:
        - mountPath: "/home/jovyan/work"
          name: notebook-1

原文由 Mikhail Janowski 发布，翻译遵循 CC BY-SA 4.0 许可协议

阅读 3.1k

我最终得到了一个 initContainer 与相同的 volumeMount 作为主容器，在我的例子中，为自定义 Grafana 图像设置适当的权限。

当 pod 中的容器以 root 以外的用户身份运行并且需要对已安装卷的写入权限时，这是必需的。

 initContainers:
- name: take-data-dir-ownership
  image: alpine:3
  # Give `grafana` user (id 472) permissions a mounted volume
  # https://github.com/grafana/grafana-docker/blob/master/Dockerfile
  command:
  - chown
  - -R
  - 472:472
  - /var/lib/grafana
  volumeMounts:
  - name: data
    mountPath: /var/lib/grafana

https://kubernetes.io/docs/concepts/workloads/pods/init-containers/

更新： 请注意，在没有 -R （递归）标志的情况下运行 chown 可能就足够了，因为无论 pod 重新启动如何，权限通常都会保留在卷本身中。如果卷中有大量文件，这将是可取的，因为处理所有文件需要时间（取决于为 — 设置的 initContainer resources 限制） .

更新 2： 在 Kubernetes v1.23 securityContext.fsGroup 和 securityContext.fsGroupChangePolicy 功能进入 GA/stable。有关更多信息，请参阅其他答案。相关的变更日志项将其描述为

为 Pod 配置卷权限和所有权更改策略的功能在 1.23 中移至 GA。这允许用户在挂载时跳过递归权限更改并加快 pod 启动时间。

原文由 sshow 发布，翻译遵循 CC BY-SA 4.0 许可协议

Kubernetes：如何设置 VolumeMount 用户组和文件权限

你尚未登录，登录后可以

为什么在 aws 新开 ec2 机器不显示价格？

Docker 构建 Nginx 镜像时如何增加 stub_status 模块？

如何部署WGCLOUD的agent?

怎么设置 aws ec2 t2.micro 免费流量用完之后，就自动断网，避免花钱？

如何在 Docker 启动的 Jenkins 容器中支持 Docker Compose 功能？

如何解决AMHPOD容器在IP地址变更后的访问问题？

运行docker命令时，ampod卡住了，如何解决？

Stack Overflow 翻译