GKEのコンテナプロセスの実効を非ルートユーザで実効したいと思っています。
securityContextは、下記のように記載していますが、podのapply実効に失敗します。
コンテナは、サイドカーで一つのpod内に二つのコンテナが立っています。両方のspec:配下のimage: の下にsecurityContextを記載しています。
参照URL
下記の設定だと
runAsNonRoot: true
で指定しており、ルート実効されているため、実効が失敗し、podがたちません。下記の設定でうまくいくようにしたい。
yaml
1securityContext: 2 runAsUser: 1000 3 runAsNonRoot: true 4 readOnlyRootFilesystem: true
下記は、その他の設定で検証した結果。
ーーーー
下記の設定だと
yaml
1securityContext: 2 runAsUser: 1000 3 readOnlyRootFilesystem: true
以下のエラーログがはかれます。
textPayload: "open("/code/log/hoge.log"): Read-only file system [core/logging.c line 288]"
下記の設定だと
yaml
1securityContext: 2 runAsUser: 1000
以下のエラーログがはかれます。
textPayload: "Received TERM signal. Waiting up to 0s before terminating."
textPayload: "open("/code/log/hoge.log"): Permission denied [core/logging.c line 288]"
なにか気になる点ございましたら、ご教示頂けると助かります。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/10/22 11:45
2020/10/23 05:08
2020/10/25 00:05