iT邦幫忙

2024 iThome 鐵人賽

DAY 26
0
DevOps

今天不學遺傳學,跟著Kubernetes種豌豆系列 第 26

Day26. 設定Security context

  • 分享至 

  • xImage
  •  

題目:建立pod (ithome-pod),指定image為nginx: 1.27.1,賦予pod能夠設定SYS_TIME的權限,並且讓容器sleep 4800秒


Security context

有關Pod及Container的權限及存取控制權,設定於Security context,參考官方文件確認參數

同樣使用假執行的方式,先有基本的底板,再進入檔案中設定細項

  • kubectl run ithome-pod --image=nginx:1.27.1 --dry-run=client -o yaml > ithome-pod.yaml
    • --dry-run=client: 假執行
    • -o yaml: yaml格式匯出
  • 進入文件進行編輯: vi ithome-pod.yaml
    apiVersion: v1
    kind: Pod
    metadata:
      creationTimestamp: null
      labels:
        run: ithome-pod
      name: ithome-pod
    spec:
      containers:
      - image: nginx:1.27.1
        name: ithome-pod
        securityContext: # 權限控制區塊
          capabilities: # 能力
            add: ["SYS_TIME"] # 新增項目
        command: ["sleep", "4800"] # 執行指令 
        resources: {}
      dnsPolicy: ClusterFirst
      restartPolicy: Always
    status: {}
  • 建立物件:kubectl apply -f ithome-pod.yaml
  • 檢查是否成功設定: kubectl get pod ithome-pod -o yaml | grep -A 15 containers:
  • https://ithelp.ithome.com.tw/upload/images/20240830/20168178kyYIVgsaz8.png
  • 執行describe無法查看到securityContext的設定: kubectl describe pod ithome-pod
  • https://ithelp.ithome.com.tw/upload/images/20240830/20168178ftFgsC5JDM.png

若yaml檔案稍有錯誤,但仍成功建立物件的話,此物件將無法正常運作,此時可以編輯pod檔案更新

  • 檢查pod運作狀況: kubectl get pod wrong-pod -o wide
  • https://ithelp.ithome.com.tw/upload/images/20240830/201681784V3XGHLFZr.png
  • 編輯pod: 儲存時,通知只有特定欄位可編輯 kubectl edit pod wrong-pod
  • https://ithelp.ithome.com.tw/upload/images/20240830/201681780KvIKQ31cv.png
  • 不修改仍儲存的話,將另存於新文件
  • https://ithelp.ithome.com.tw/upload/images/20240830/201681784h7MhSju8D.png
  • 強制更新: 先刪除原本的pod,再新建 kubectl replace --force -f /tmp/kubectl-edit-124727051.yaml
  • https://ithelp.ithome.com.tw/upload/images/20240830/20168178hZNtm7g6kS.png

上一篇
Day25. CKA考題練習:建立NetworkPolicy與測試
下一篇
Day27. CKA考題練習:設定Pod使用PersistentVolume
系列文
今天不學遺傳學,跟著Kubernetes種豌豆30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言