无法从 kubernetes pod 挂载 azure 文件共享（在本地机器上工作正常）

Question

我在 Azure 中运行 kubernetes 我已经创建了一个存储帐户和一个 azure 文件（文件共享）

从我的本地 Ubuntu 机器上，我可以成功安装共享：

$ sudo mount -t cifs //mystorage.....windows.net/data /home/demo/azureshare -o vers=3.0,username=mystorage,password=-C5DM...tHRow==

但是，当我尝试从正在运行的 ubuntu 吊舱中执行相同操作时，我得到：

$ kubectl exec diag-app-9d8fcc878e-5r6g -it bash
root@diag-app-9d8fcc878e-5r6g:~# sudo mount -vv -t cifs //mystorage.....windows.net/data /home/user/azureshare -o vers=3.0,username=mystorage,password=-C5DM...tHRow==
mount.cifs kernel mount options: ip=xx.xxx.xxx.xxx,unc=\\mystorage.....windows.net\data,vers=3.0,user=mystorage,pass=********
mount error(13): Permission denied
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)

我试过securityContext ：

apiVersion: extensions/v1beta1
kind: Deployment
    ...
    spec:
      securityContext:
        runAsUser: 0
      containers:
      ...

但这给出了：

Unable to apply new capability set.

所以我补充说：

apiVersion: extensions/v1beta1
kind: Deployment
    ...
    spec:
      securityContext:
        runAsUser: 0      
      containers:
        ...
        securityContext:
          capabilities:
            add:
              - NET_ADMIN
              - SYS_ADMIN
              - DAC_READ_SEARCH

但仍然是同样的错误。 并且还尝试过：

apiVersion: extensions/v1beta1
kind: Deployment
    ...
    spec:
      containers:
        ...
        securityContext:
          runAsUser: 0
          capabilities:
            add:
              - NET_ADMIN
              - SYS_ADMIN
              - DAC_READ_SEARCH

还是一样的错误。

以上不是我计划在生产中做的事情我只是想了解为什么我不能直接从 pod 内安装共享。

有什么建议么？

Answer 1

我知道已经晚了。 我有同样的问题，不得不通过停用 appamor

apiVersion: v1
kind: Pod
metadata:
  annotations:
    container.apparmor.security.beta.kubernetes.io/container_name: unconfined