更改kubernetes的默认文件所有者和组所有者保密预览卷

时间:2018-04-20 15:49:12

标签: kubernetes mounted-volumes kubernetes-secrets

我是K8S的新手。我有一个yaml文件,它生成安装在预计卷上的kubernetes秘密。在执行时,我发现秘密文件(与秘密一起打包)显示“root”作为文件所有者和组所有者。我想将文件所有者和组所有者更改为相同的特定用户(比如450)。

我尝试过使用init容器中的“chown”(试过但失败了),但是我收到错误说“只读文件系统”并且无法修改文件&集团所有者。 我不想在securitycontext下使用“fsGroup”。我发现当使用fsGroup时,“items”下的“mode:”选项会以不可预测的方式运行。

有没有办法修改通过预计卷安装的kubernetes机密文件的默认文件和组所有者?

我在下面提供示例代码。假设我要更改文件&以下示例中的“密码”文件的组所有者(在“mysecret2”下)。如何实现呢?

apiVersion: v1
kind: Pod
metadata:
  name: volume-test
spec:
  containers:
  - name: container-test
    image: busybox
    volumeMounts:
    - name: all-in-one
      mountPath: "/projected-volume"
      readOnly: true
  volumes:
  - name: all-in-one
    projected:
      sources:
      - secret:
          name: mysecret
          items:
            - key: username
              path: username
      - secret:
          name: mysecret2
          items:
            - key: password
              path: password
              mode: 511

2 个答案:

答案 0 :(得分:4)

据我所知,没有办法改变所有者UID的秘密。

解决方法是将秘密复制到普通文件,然后更改其所有权和模式,如下所示:

apiVersion: v1
kind: Pod
metadata:
  name: volume-test
spec:
  containers:
  - name: container-test
    image: busybox
    command: |
      - "/bin/bash"
      - "-exc"
        cp /etc/secrets-mount/*_pgpass /etc/secrets
        chown my-user /etc/*_pgpass
        chmod 600 /etc/*_pgpass
        exec su-exec my-user /entrypoint.sh
    volumeMounts:
    - name: secrets
      mountPath: /etc/secrets-mount/

....

答案 1 :(得分:1)

正如阿列克谢所说,在github.com/kubernetes/kubernetes/issues/81089完成之前,这是不可能的。

除非您设置了securityContraint.runAsNonRoot,否则他的解决方案将无法正常运行,在这种情况下,容器将不会拥有秘密密钥的权限。

就我而言,我必须执行以下操作:

apiVersion: apps/v1
kind: Deployment
spec:
  template:
    spec:
      ##########################################
      #         Volumes definitions
      volumes:
      - name: key-volume
        emptyDir:
          sizeLimit: "8k"
      - name: root-owned-key-volume
        secret:
          secretName: my-secret
          items:
            - key: a_key_file
              path: a_key_file
              mode: 0600
      ##########################################
      #         initContainers definitions
      initContainers:
        - name: set-key-ownership
          image: alpine:3.6
          command: ["sh", "-c", "cp /root-key/* /key && chown -R 33:33 /key"]
          volumeMounts:
          - mountPath: /key
            name: key-volume
          - mountPath: /root-key
            name: root-owned-key-volume
      ##########################################
      #         Containers definitions
      containers:
      - name: my-main-container
        (...)
        securityContext:
          runAsNonRoot: true
          runAsUser: 33
        (...)
        volumeMounts:
        - mountPath: /key
          name: key-volume

基本上,知道不可能更改秘密文件的所有权,因此initContainer会将其复制到另一个临时文件夹并更改此新文件的所有权。

太棒了,但至少可以正常工作。