我正在尝试安装需要IPC_LOCK功能的头盔包。所以,我收到此消息:
创建错误:禁止pods“ pod ...”:无法针对任何安全上下文约束进行验证:[capabilities.add:无效值:“ IPC_LOCK”:可能未添加功能features.add:无效值:“ IPC_LOCK“:可能未添加功能]
您可以看到DeploymentConfig here。
我正在使用Helm图表安装Vault,因此无法更改DeploymentConfig。
我想唯一的方法就是使用带有scc关联的服务帐户,以使其能够执行容器。
我该如何解决?
答案 0 :(得分:0)
我尚未在Vault上工作,所以我的答案可能不准确。
但是我认为您可以删除该功能并在Vault配置中禁用m_lock。 https://www.vaultproject.io/docs/configuration/index.html#disable_mlock
话虽如此,我不认为kubernetes仍然支持内存交换(有人需要验证这一点),因此可能不需要对mlock的系统调用。