如何找出应该向哪个“用户”添加“ scc”?

时间:2019-03-06 08:14:04

标签: kubernetes openshift privileges openshift-client-tools

我正在尝试在我的openshift项目中运行lambda.invoke(args)容器。

我遇到了错误:

  

不允许使用特权容器功能。添加:无效值:   “ IPC_LOCK”:可能未添加功能。add:无效   值:“ SYS_RESOURCE”:可能未添加功能

我发现您需要向用户帐户添加elasticsearch(或创建自己的专用帐户)。

我尝试遵循docu https://docs.openshift.com/container-platform/3.4/admin_guide/manage_scc.html,其中给出了以下命令:

privileged scc

但是,没有给出任何线索oc create serviceaccount mysvcacct -n myproject oc adm policy add-scc-to-user privileged system:serviceaccount:myproject:mysvcacct 和为什么被称为mysvcacct

由于我的项目名为mysvcacct,因此我尝试了以下操作:

logging

但没有任何改变。我不断收到相同的错误。

我在那里缺少什么?我应该用什么名字代替oc create serviceaccount logging -n logging oc adm policy add-scc-to-user privileged system:serviceaccount:logging:logging

1 个答案:

答案 0 :(得分:2)

仅供参考,我介绍了yaml格式的示例。

  • 您可以使用ServiceAccount cmd修改oc patch dc/your-deploymentConfigName名称,如下所示。
# oc patch dc/elasticsearch --patch '{"spec":{"template":{"spec":{"serviceAccountName": "logging"}}}}'
  • 或者使用oc edit dc/your-deploymentConfigName,来看看serviceAccountName
# oc edit dc/elasticsearch
    ...
    spec:
      containers:
      - image: docker-registry.default.svc:5000/test/...
        imagePullPolicy: Always
        name: web
        ports:
        - containerPort: 8080
          protocol: TCP
        resources: {}
        terminationMessagePath: /dev/termination-log
        terminationMessagePolicy: File
      dnsPolicy: ClusterFirst
      restartPolicy: Always
      schedulerName: default-scheduler
      securityContext: {}
      serviceAccount: logging
      serviceAccountName: logging