在 Kubernetes 中,我遇到了目录权限问题。我正在使用一个 pod 进行测试,以创建一个基本的 elasticsearch 实例,该实例是基于 ElasticSearch 提供的 docker 映像构建的。
如果我使用基本的 .yaml 文件来定义容器,一切都会启动。当我尝试用安装持久卷创建的目录替换从 docker 映像创建的目录时,就会出现问题。
原来的目录是
drwxrwxr-x 1 elasticsearch root 4096 Aug 30 19:25 data
如果我挂载持久卷,它会将所有者和权限更改为
drwxr-xr-x 2 root root 4096 Aug 30 19:53 data
现在,通过运行 elasticsearch 用户的 elasticsearch 进程,可以再访问该目录。
我已将 pod 的安全上下文的 fsGroup 设置为 1000,以匹配 elasticsearch 组的组。我已将容器的安全上下文的 runAsUser 设置为 0。我已设置用户和组的各种其他组合,但无济于事。
这是我的 pod、持久卷声明和持久卷定义。
欢迎任何建议。
apiVersion: v1
kind: Pod
metadata:
name: elasticfirst
labels:
app: elasticsearch
spec:
securityContext:
fsGroup: 1000
containers:
- name: es01
image: docker.elastic.co/elasticsearch/elasticsearch:7.3.1
securityContext:
runAsUser: 0
resources:
limits:
memory: 2Gi
cpu: 200m
requests:
memory: 1Gi
cpu: 100m
env:
- name: node.name
value: es01
- name: discovery.seed_hosts
value: es01
- name: cluster.initial_master_nodes
value: es01
- name: cluster.name
value: elasticsearch-cluster
- name: bootstrap.memory_lock
value: "true"
- name: ES_JAVA_OPTS
value: "-Xms1g -Xmx2g"
ports:
- containerPort: 9200
volumeMounts:
- mountPath: "/usr/share/elasticsearch/data"
name: elastic-storage2
nodeSelector:
type: compute
volumes:
- name: elastic-storage2
persistentVolumeClaim:
claimName: elastic-storage2-pvc
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: elastic-storage2-pvc
spec:
storageClassName: local-storage
accessModes:
- ReadWriteOnce
resources:
requests:
storage: 512Mi
apiVersion: v1
kind: PersistentVolume
metadata:
name: elastic-storage2-pv
spec:
storageClassName: local-storage
capacity:
storage: 512Mi
accessModes:
- ReadWriteOnce
hostPath:
path: /var/tmp/pv