我正在使用docker service和kubernetes进行容器编排。
我希望从主机安装所有卷,并使用选项nosuid。
Emptydir卷也可以没有suid。唯一的问题是kubernetes是否支持指定这样的挂载选项,或者是否可以以其他方式处理它们。
findmnt
TARGET SOURCE FSTYPE OPTIONS
/ /dev/vda1 ext4 rw,noatime,seclabel,data=ordered
├─/sys sysfs sysfs rw,relatime,seclabel
│ ├─/sys/kernel/security securityfs securityfs rw,nosuid,nodev,noexec,relatime
│ ├─/sys/fs/cgroup tmpfs tmpfs ro,nosuid,nodev,noexec,seclabel,mode=755
│ │ ├─/sys/fs/cgroup/systemd cgroup cgroup rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/sy
...
├─/var/lib/kubelet/pods/05f79fe8-3fab-11e7-8c7b-d00d8969ec73/volumes/kubernetes.io~secret/default-token-lnpbh tmpfs tmpfs rw,relatime,seclabel
├─/var/lib/kubelet/pods/0911e563-3fab-11e7-8c7b-d00d8969ec73/volumes/kubernetes.io~secret/default-token-lnpbh tmpfs tmpfs rw,relatime,seclabel
├─/var/lib/kubelet/pods/b550adbd-3fbf-11e7-8c7b-d00d8969ec73/volumes/kubernetes.io~empty-dir/data tmpfs tmpfs rw,relatime,seclabel
来自kubernetes的相关问题:https://github.com/kubernetes/kubernetes/issues/48912
答案 0 :(得分:1)
正如您所提到的,EmptyDir卷可以在没有suid的情况下生存是正确的,但截至目前,在Kubernetes卷清单中无法提及nosuid种挂载选项。 / p>