Kubernetes 持久卷声明覆盖现有目录的所有者和权限
[英]Kubernetes persistent volume claim overriding existing directory's owner and permissions
问题描述
在 Kubernetes 中,我遇到了目录权限问题。 我正在使用一个 pod 进行测试,以创建一个基于 ElasticSearch 提供的 docker 映像构建的基本 Elasticsearch 实例。
如果我使用基本的 .yaml 文件来定义容器,一切都会启动。 当我尝试用从挂载持久卷创建的目录替换从 docker 映像创建的目录时,会发生问题。
原来的目录是
drwxrwxr-x 1 elasticsearch root 4096 Aug 30 19:25 data
如果我挂载持久卷,它会将所有者和权限更改为
drwxr-xr-x 2 root root 4096 Aug 30 19:53 data
现在,随着 elasticsearch 进程以 elasticsearch 用户身份运行,可以再访问该目录。
我已将 pod 的安全上下文的 fsGroup 设置为 1000,以匹配 elasticsearch 组的组。 我已经将容器的安全上下文的 runAsUser 设置为 0。我已经设置了用户和组的各种其他组合,但无济于事。
这是我的 pod、持久卷声明和持久卷定义。
欢迎任何建议。
apiVersion: v1
kind: Pod
metadata:
name: elasticfirst
labels:
app: elasticsearch
spec:
securityContext:
fsGroup: 1000
containers:
- name: es01
image: docker.elastic.co/elasticsearch/elasticsearch:7.3.1
securityContext:
runAsUser: 0
resources:
limits:
memory: 2Gi
cpu: 200m
requests:
memory: 1Gi
cpu: 100m
env:
- name: node.name
value: es01
- name: discovery.seed_hosts
value: es01
- name: cluster.initial_master_nodes
value: es01
- name: cluster.name
value: elasticsearch-cluster
- name: bootstrap.memory_lock
value: "true"
- name: ES_JAVA_OPTS
value: "-Xms1g -Xmx2g"
ports:
- containerPort: 9200
volumeMounts:
- mountPath: "/usr/share/elasticsearch/data"
name: elastic-storage2
nodeSelector:
type: compute
volumes:
- name: elastic-storage2
persistentVolumeClaim:
claimName: elastic-storage2-pvc
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: elastic-storage2-pvc
spec:
storageClassName: local-storage
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 512Mi
apiVersion: v1
kind: PersistentVolume
metadata:
name: elastic-storage2-pv
spec:
storageClassName: local-storage
capacity:
storage: 512Mi
accessModes:
- ReadWriteOnce
hostPath:
path: /var/tmp/pv
1 个解决方案
解决方案1
2 2019-09-01 03:37:01
您的问题对于正在发生的事情与您想要发生的事情有点混淆,但总的来说,这个问题是一个常见的问题; 这就是为什么许多设置使用initContainer:来更改新配置的 PersistentVolumes 的所有权( 如本例所示)
在这样的设置中, initContainer:将以 root 身份运行,但也可能是一个非常瘦的容器,其工作只是chown然后退出,让您的应用程序容器 - 在您的示例中为 elasticsearch - 可以作为非特权运行用户
spec:
initContainers:
- name: chown
image: busybox
command:
- chown
- -R
- "1000:1000"
- /the/data
volumeMounts:
- name: es-data
mountPoint: /the/data
containers:
- name: es
# etc etc
使用Kubernetes在Elasticsearch集群中的持久卷映射
[英]Persistent Volume mapping in Elasticsearch cluster using Kubernetes
Elasticsearch 部署在 kubernetes 上使用持久卷
[英]Elasticsearch deployment on kubernetes using Persistent Volume
如何更改elasticsearch docker容器内目录的所有者权限?
[英]How do I change owner permissions of a directory inside my elasticsearch docker container?
如何在kubernetes中使用elasticsearch节点附加存储卷?
[英]How to attach storage volume with elasticsearch nodes in kubernetes?
Digital Ocean 管理的 Kubernetes 卷在待处理 state
[英]Digital Ocean managed Kubernetes volume in pending state
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Kubernetes Persistent Volume在GCE上不起作用
使用Kubernetes在Elasticsearch集群中的持久卷映射
Elasticsearch 部署在 kubernetes 上使用持久卷
具有持久卷的 kube 上的弹性搜索
如何更改elasticsearch docker容器内目录的所有者权限?
Eck 本地持久卷未创建
Kubernetes 使用 Metricbeat 的卷的百分比
Docker-compose 持久卷问题与 elasticsearch
如何在kubernetes中使用elasticsearch节点附加存储卷?
Digital Ocean 管理的 Kubernetes 卷在待处理 state
相关标签