Kubernetesに大きな問題があり、PVCにも権限の問題があります。
これは私のNFSエクスポートラインです。
/srv/nfs4 192.168.1.0/24(rw,sync,no_subtree_check,crossmnt,fsid=0)
/srv/nfs4/k8s 192.168.1.0/24(rw,sync,no_subtree_check,insecure,no_root_squash)
これはlsのディレクトリです。
david@dell-nfs:/srv/nfs4$ ls -la
total 32
drwxr-xr-x 8 root root 4096 Sep 14 19:08 .
drwxr-xr-x 3 root root 4096 Aug 9 15:48 ..
drwxr-xr-x 9 root systemd-coredump 4096 Oct 20 15:58 k8s
私の問題は、動的PVCコンフィギュレータを使用していることです(次のようにNFS共有に固有のフォルダを作成します)。
david@dell-nfs:/srv/nfs4/k8s$ ls -la
total 36
drwxr-xr-x 9 root systemd-coredump 4096 Oct 20 15:58 .
drwxr-xr-x 8 root root 4096 Sep 14 19:08 ..
drwxrwxrwx 3 david david 4096 Oct 20 15:53 pvc-5384721a-0ab7-435c-9cac-22183861b5c5
drwxrwxrwx 3 1001 systemd-coredump 4096 Oct 20 15:40 pvc-55df0dda-5ed5-4f6d-9979-41b53c451bea
drwxrwxrwx 14 root root 4096 Oct 20 15:49 pvc-7fc0e511-f2fe-4cde-bfff-589728f219c5
drwxrwxrwx 3 david david 4096 Oct 20 15:53 pvc-87e83254-9c86-4df9-a1bd-fc4cbdd90bcd
drwxrwxrwx 2 root root 4096 Oct 20 15:49 pvc-9aa60ede-8e5a-463d-a5f4-ce07d9019203
しかし、PVCは私のKubernetes設定で作成されたため、コンテンツを一意のフォルダに追加するためのPod権限が拒否されました。 Helmのインストールを修正してセキュリティを軽減しましたが、すべてうまくいきました。ベアメタルでクラスタ全体を構成するために、chmod -R 777Ansibleのインストール中にそれぞれ独自のPVCディレクトリがあります。私はこれが間違っていることを知っています。
私の質問は、この状況を解決するのに役立つようにNFS / Linuxでできることをすべてしましたか?私は自宅で働いており、クラスタとテクノロジスタックがAWS、GCE、Azureにインストールされています。たとえば、私はEDS(AWS Persistence)にNFSを使用する設計者です。それで、NFSサーバーのセキュリティを軽減するためにすべての措置を講じたのだろうかと思います。
PS次の研究は、各技術スタックプロジェクトのKubernetesとAnsibleロールのインストールです。動的NFSプロビジョナーはうまく機能しますが、起動時にポッドが単一のNFS共有に書き込めない場合に問題が発生します。