一、kubernetes自定義pod啟動(dòng)用戶

? 一）以root用戶啟動(dòng)pod

containers:- name: ...image: ...securityContext:runAsUser: 0

? 二）以普通用戶啟動(dòng)pod

　　1、從構(gòu)建鏡像角度修改

# RUN命令執(zhí)行創(chuàng)建用戶和用戶組（命令創(chuàng)建了一個(gè)用戶newuser設(shè)定ID為10000，并指定了用戶登錄后使用的主目錄和shell）
RUN groupadd --gid 10000 newuser \&& useradd --home-dir /home/newuser --create-home --uid 10000 --gid 10000 --shell /bin/sh --skel /dev/null newuser# 指定用戶，從這一行往下開始的每個(gè)命令都是以newuser身份而不是root身份運(yùn)行（比如后面的CMD、EntryPoint）
USER newuser

?　　2、從容器啟動(dòng)方式角度修改

　　可以使用Pod安全上下文，將Pod的執(zhí)行限制為特定的非root用戶。

　　通過Pod構(gòu)建文件中添加securityContext來配置Pod的安全設(shè)置

apiVersion: v1
kind: Pod
metadata:    name: pod-helloworld
spec:  securityContext: runAsNonRoot: truerunAsUser: 10000runAsGroup: 10000fsGroup: 10000    

　　runAsUser指定Pod內(nèi)的任何容器僅以u(píng)serID為10000的運(yùn)行，runAsGroup指定的容器內(nèi)所有進(jìn)程的組ID（組ID不指定默認(rèn)為0）。你可以先進(jìn)入容器，然后使用 ps 命令查看進(jìn)程的用戶。

? 三）以root用戶進(jìn)入pod

　　1、首先找到你需要進(jìn)入對(duì)應(yīng)namespace的pod名

kubectl get pod|grep podname

　　2、找到pod所在的節(jié)點(diǎn)以及容器id

kubectl describe pod “pod名”
在所給信息中找到以下字段：Node：所查pod所在的節(jié)點(diǎn)Container ID：所查pod的容器id,形如docker://...，注意Container ID 不包括docker://

　　3、ssh到pod對(duì)應(yīng)節(jié)點(diǎn)

　　4、以root用戶權(quán)限進(jìn)入pod

docker exec -it -u root 'Container ID' /bin/bash

?