質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%

Q&A

1回答

851閲覧

K8SマニフェストファイルのsecurityContextの非ルートユーザ実行の設定が効かない原因調査

sequelanonymous

総合スコア123

0グッド

0クリップ

投稿2020/10/22 05:26

編集2022/01/12 10:55

GKEのコンテナプロセスの実効を非ルートユーザで実効したいと思っています。
securityContextは、下記のように記載していますが、podのapply実効に失敗します。
コンテナは、サイドカーで一つのpod内に二つのコンテナが立っています。両方のspec:配下のimage: の下にsecurityContextを記載しています。

参照URL

下記の設定だと

runAsNonRoot: true

で指定しており、ルート実効されているため、実効が失敗し、podがたちません。下記の設定でうまくいくようにしたい。

yaml

1securityContext: 2  runAsUser: 1000 3  runAsNonRoot: true 4  readOnlyRootFilesystem: true

下記は、その他の設定で検証した結果。
ーーーー
下記の設定だと

yaml

1securityContext: 2  runAsUser: 1000 3  readOnlyRootFilesystem: true

以下のエラーログがはかれます。

textPayload: "open("/code/log/hoge.log"): Read-only file system [core/logging.c line 288]"

下記の設定だと

yaml

1securityContext: 2  runAsUser: 1000

以下のエラーログがはかれます。

textPayload: "Received TERM signal. Waiting up to 0s before terminating."
textPayload: "open("/code/log/hoge.log"): Permission denied [core/logging.c line 288]"

なにか気になる点ございましたら、ご教示頂けると助かります。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

使ってるDockerイメージはどこから取得していますでしょうか?
また、実行したいユーザーが該当のディレクトリに対してコンテナ内でパーミッションを持っているかどうかも気になります。

投稿2020/10/22 10:22

inductor

総合スコア428

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

sequelanonymous

2020/10/22 11:45

お返事ありがとうございます! GCRからとってきています。 また、Dockerfileにはuid周りのことは何もかいていません。permissionもないです。 しかし、Dockerfileに記載していない場合は、yamlで書いたuidでコンテナプロセスが走る、書いてたら、uidは上書きされる、という理解でいます。
inductor

2020/10/23 05:08

該当ディレクトリに、このuidで書き込み権限がなかったら書き込みエラーになるのはまあ当然かな、と思いました。
sequelanonymous

2020/10/25 00:05

ありがとうございます! 書き込む権限付与の仕方は、Dockerfile側でユーザを追加してpermissionを与える部分を追記するで解決できそうっていうので認識であっていますでしょうか?
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問