无法获取容器以在k8s中获取apparmor配置文件

时间:2018-07-14 21:24:44

标签: docker kubernetes

mount: tmpfs is write-protected, mounting read-only
mount: cannot mount tmpfs read-only
failed.

基于文档re:注释和containers creator,这是我的部署文件的相关部分:

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: unifi-video
  annotations:
    container.apparmor.security.beta.kubernetes.io/unifi-video: "unconfined"
spec:
  replicas: 1
  template:
    metadata:
      labels:
        app: unifi-video
    spec:
      hostname: unifi-video
      nodeSelector:
        kubernetes.io/hostname: mira-b.home
      volumes:
      - name: dockerdata
        persistentVolumeClaim:
          claimName: dockerdata-nas
      - name: cameradata
        persistentVolumeClaim:
          claimName: cameras-nas
      containers:
      - name: unifi-video
        image: pducharme/unifi-video-controller:3.9.7
        securityContext:
          capabilities:
            add:
              - SYS_ADMIN
              - DAC_READ_SEARCH

IT特别呼吁

  

如果出现此tmpfs挂载错误,请将--security-opt apparmor:unconfined \添加到运行选项列表中。此错误已在Ubuntu上看到,但也可能在其他平台上发生。

但是从我能找到的信息(现在经过一个多小时的搜索)中,实现这一点的方法是通过注释行来实现k8s。

我想念什么吗?

1 个答案:

答案 0 :(得分:1)

最终从k8s发行版部分获得了答案。注解的位置不正确。这是执行此操作的正确方法:

apiVersion: extensions/v1beta1
kind: Deployment
metadata:
  name: unifi-video
spec:
  replicas: 1
  template:
    metadata:
      annotations:
        container.apparmor.security.beta.kubernetes.io/unifi-video: unconfined
      labels:
        app: unifi-video

这将导致使用apparmor成功部署容器,并允许tempfs挂载。