1

一个 docker容器 是如何running on a docker machine instead of a k8s pod操作 k8s 集群的。例如,如果我需要在容器内做这样的事情:

kubectl 获取 pod

在我的 dockerfile 中,我安装了 kubectl

RUN curl -LO https://storage.googleapis.com/kubernetes-release/release/$(curl -s https://storage.googleapis.com/kubernetes-release/release/stable.txt)/bin/linux/amd64/kubectl
RUN chmod +x ./kubectl
RUN sudo mv ./kubectl /usr/local/bin/kubectl

当我运行时kubectl get pods,结果如下:

kubectl get pod
error: no configuration has been provided, try setting KUBERNETES_MASTER environment variable

所以我在命令中将它安装config到 docker 容器中docker run

docker run -v /root/.kube/config:/root/.kube/config my-images

结果如下:

kubectl get pod
Error in configuration: 
* unable to read client-cert /root/.minikube/profiles/minikube/client.crt for minikube due to open /root/.minikube/profiles/minikube/client.crt: no such file or directory
* unable to read client-key /root/.minikube/profiles/minikube/client.key for minikube due to open /root/.minikube/profiles/minikube/client.key: no such file or directory
* unable to read certificate-authority /root/.minikube/ca.crt for minikube due to open /root/.minikube/ca.crt: no such file or directory

这似乎是由于current-context: minikube在 k8s 配置文件中

然后再次挂载认证文件,运行成功。

现在,我可以在挂载时调用kubectl get pods命令或otherwise操作容器外部的集群-v /root/.kube/config:/root/.kube/config -v /root/.minikube/:/root/.minikube/,但是,这不适用于kubeadm or otherwise.

但是我希望能够以统一的方式将所需的配置文件等挂载到容器中,以便我可以使用相同的命令来操作可能由or或 or创建的 k8s 集群minikuberancher k3skubeadm

综上所述,我想为k8s集群的所有情况挂载一套统一的文件或目录,比如-v file: file -v dir:dir实现对以任何方式创建的k8s集群的操作,比如获取pod状态,创建,删除各种类型的资源等等

我需要有在k8s上操作的最大权限

有人可以告诉我我需要做什么吗?

4

1 回答 1

1

我认为您可以在运行容器时设置 Docker 用户

您可以使用明确的用户 ID 和组 ID 运行(在此示例中 - ubuntu 映像)。

$ docker run -it --rm \
  --mount "type=bind,src=$(pwd)/shared,dst=/opt/shared" \
  --workdir /opt/shared \
  --user "$(id -u):$(id -g)" \
  ubuntu bash

区别在于'–user“$(id -u):$(id -g)”' - 它们告诉容器使用当前用户id和组id运行,这些用户id和组id是通过运行“id”通过bash命令替换动态获得的-u”和“id -g”并传递它们的值。

这已经足够好了。这里的问题是,用户和组实际上并不存在于容器中。这种方法适用于终端命令,但会话看起来已损坏,您会看到一些丑陋的错误消息,例如:

"groups: cannot find name for group ID"
"I have no name!"
  - your container, complaining

虽然 bash 有效,但如果这些配置看起来很可疑,某些应用程序可能会拒绝运行。

接下来,您必须正确配置和运行 Docker 容器,这样您就不必解决权限错误并轻松访问您的文件。

在任何情况下,您都应该在 Dockerfile 中创建一个非 root 用户,这是一件好事。您不妨明确设置用户 ID 和组 ID。

下面是一个最小的 Dockerfile,它期望接收构建时参数,并创建一个名为“user”的新用户:

FROM ubuntu

ARG USER_ID
ARG GROUP_ID

RUN addgroup --gid $GROUP_ID user
RUN adduser --disabled-password --gecos '' --uid $USER_ID --gid $GROUP_ID user
USER user

看一下: add-user-to-container

你可以使用这个 Dockerfile,用主机 uid 和 gid 构建一个新的镜像。此映像需要专门为将要运行的每台机器构建,以确保一切正常。

然后,您可以为我们的命令运行使用此图像。用户 id 和组 id 是正确的,无需在运行容器时指定它们。

$ docker build -t your-image \
  --build-arg USER_ID=$(id -u) \
  --build-arg GROUP_ID=$(id -g) .
$ docker run -it --rm \
  --mount "type=bind,src=$(pwd)/shared,dst=/opt/shared" \
  --workdir /opt/shared \
  your-image bash

无需使用“chown”,您将摆脱烦人的权限错误。请看这篇非常有趣的文章:kubernetes-management-docker , docker -shared-permissions

于 2020-05-08T10:50:36.420 回答