최근에 Docker에서 Docker로 전환했습니다.보드맨Kubernetes 호환 제품을 만들었습니다.포드 정의yaml 파일.
rootless를 사용하여 정의를 성공적으로 로드했습니다.podman play kube그런 다음 명령어는 포드와 컨테이너가 시작되었다고 선언하지만읽기 액세스가 거부되었습니다.뭔가를 나열하려고 할 때호스트 경로컨테이너 내의 바인딩된 볼륨입니다.
⋄정의 로드 및 "프런트엔드" 컨테이너 로그 덤프
$ podman play kube ./my-pod.yaml ; sleep 1 ; podman logs front
/var/www # pwd
0 0 # echo `id -u` `id -g`
total 0 # ls -lha
ls: cannot open '.': Permission denied
나는 거부가 다음과 관련이 있다고 생각합니다.SELinux파일 임의 액세스 제어 권한이 호스트 디렉터리에 대해 충분히 허용되는 것처럼 보이기 때문에 제한적인 정책입니다.
$ pwd ; ls -lhaZ
/home/stph/my-project
drwxrwxr-x. 9 stph stph unconfined_u:object_r:user_home_t:s0 4.0K Apr 15 22:30 .
drwxrwxr-x. 4 stph stph unconfined_u:object_r:user_home_t:s0 4.0K Apr 15 22:30 ..
drwxr-xr-x. 5 stph stph unconfined_u:object_r:user_home_t:s0 4.0K Apr 3 14:11 ui
그래서 순진하게 똑같이 적용했어요SELinux호스트 디렉터리에서 포드로 레이블을 지정했지만 당연하고도 아무것도 해결되지 않았습니다.
에 따르면 개인 라벨링에 관한 내용이 있을 수 있습니다.Podman이 Kube를 연기합니다.문서:
참고: HostPath 볼륨 유형 생성기큐브 플레이하기주어질 것이다SELinux개인 상표
나는 이것이 단지 의미한다고 믿는다호스트 경로볼륨은 여러 컨테이너에서 공유할 수 없습니다(여기서는 제가 착각했을 수도 있습니다).
⋄Podman Pod yaml 정의 파일
apiVersion: v1
kind: Pod
metadata:
name: my-pod
spec:
hostname: my-pod-host
volumes:
- name: projdir
hostPath:
path: /home/stph/my-project
type: Directory
securityContext:
seLinuxOptions:
level: s0
role: object_r
type: user_home_t
user: unconfined_u
containers:
- name: front
image: node:lts-alpine
workingDir: /var/www
env:
- name: API_ENTRYPOINT
value: "http://localhost:80/api"
ports:
- containerPort: 5000
hostIP: 127.0.0.1
hostPort: 5000
protocol: TCP
volumeMounts:
- name: projdir
mountPath: /var/www
subPath: ui
command: ['/bin/sh', '-c', 'pwd ; echo `id -u` `id -g` ; ls -lha']
⋄/etc/subuid 매핑
cat /etc/subuid
stph:1000:1
stph:100000:65536
⋄podman inspect front출력 발췌
{
"Id": "c93a3d6...",
"Created": "2020-04-15T19:01:14.034867742+02:00",
"Path": "docker-entrypoint.sh",
"Args": [
"/bin/sh",
"-c",
"pwd ; echo `id -u` `id -g` ; ls -lha"
],
"State": {
"OciVersion": "1.0.1-dev",
"Status": "exited",
...
},
"Image": "f77abbe...",
"ImageName": "node:lts-alpine",
"Rootfs": "",
"Pod": "26bd784...",
"ResolvConfPath": "/run/user/1000/containers/overlay-containers/93c4707.../userdata/resolv.conf",
"HostnamePath": "/run/user/1000/containers/overlay-containers/c93a3d.../userdata/hostname",
"HostsPath": "/run/user/1000/containers/overlay-containers/93c4707.../userdata/hosts",
"StaticDir": ".../containers/storage/overlay-containers/c93a3d.../userdata",
"OCIConfigPath": ".../containers/storage/overlay-containers/c93a3d.../userdata/config.json",
"OCIRuntime": "crun",
"LogPath": ".../containers/storage/overlay-containers/c93a3d.../userdata/ctr.log",
"LogTag": "",
"ConmonPidFile": "/run/user/1000/containers/overlay-containers/c93a3d.../userdata/conmon.pid",
"Name": "front",
"RestartCount": 0,
"Driver": "overlay",
"MountLabel": "system_u:object_r:container_file_t:s0:c57,c80",
"ProcessLabel": "system_u:system_r:container_t:s0:c57,c80",
"Mounts": [
{
"Type": "bind",
"Name": "",
"Source": "/home/stph/my-project",
"Destination": "/var/www",
"Driver": "",
"Mode": "",
"Options": [
"rbind"
],
"RW": true,
"Propagation": "rprivate"
}
],
"Namespace": "",
"IsInfra": false,
"Config": {
"Hostname": "ski-pod-host",
"Domainname": "",
"User": "",
"AttachStdin": false,
"AttachStdout": false,
"AttachStderr": false,
"Tty": false,
"OpenStdin": false,
"StdinOnce": false,
"Env": [
"PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin",
"TERM=xterm",
"NODE_VERSION=12.16.1",
"YARN_VERSION=1.22.0",
"API_ENTRYPOINT=http://localhost:80",
"HOSTNAME=ski-pod-host",
"HOME=/root",
"container=libpod"
],
"Cmd": [
"docker-entrypoint.sh", "/bin/sh", "-c", "pwd ; echo `id -u` `id -g` ; ls -lha"
],
"Image": "node:lts-alpine",
"Volumes": null,
"WorkingDir": "/var/www",
"Entrypoint": "",
"StopSignal": 15
...
},
"HostConfig": {
"Binds": [
"/home/stph/my-project:/var/www:rw,rprivate,rbind"
],
"NetworkMode": "container:93c4707...",
"RestartPolicy": {
"Name": "",
"MaximumRetryCount": 0
},
"AutoRemove": false,
"VolumeDriver": "",
"VolumesFrom": null,
"IpcMode": "container:93c4707...",
"Cgroup": "",
"Cgroups": "default",
"Privileged": false,
"ReadonlyRootfs": false,
"SecurityOpt": [],
...
}
...
}
⋄관련 journalctl -a -r기록에는 접근 거부 또는 무단 작업과 관련된 내용이 표시되지 않습니다.
이 상황을 디버깅/해결하는 방법에 대한 제안 사항이 있습니까? 감사해요.
답변1
나는 같은 문제가 있었고 이 해결책을 찾았습니다. 호스트에서 동일한 태그를 적용하려고 할 필요가 없으며 태그를 비활성화하기만 하면 됩니다.
securityContext:
seLinuxOptions:
type: spc_t
SELinux 태그를 비활성화합니다 type: spc_t. 이는 podman인수를 사용하여 명령을 실행하는 것과 동일합니다 --security-opt label=disable. 예를 들어:
podman run -it --security-opt label=disable -v .:/foo alpine
여기서 해결책을 찾았습니다.https://github.com/containers/libpod/pull/5307#issuecomment-590830455
도움이 되었으면 좋겠습니다.