文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >kubernetes PodSecurityPolicy设置为runAsNonRoot,容器具有runAsNonRoot,图像具有非数字用户(appuser),无法验证用户是否是非根用户

kubernetes PodSecurityPolicy设置为runAsNonRoot,容器具有runAsNonRoot,图像具有非数字用户(appuser),无法验证用户是否是非根用户
EN

Stack Overflow用户
提问于 2018-04-09 00:51:00
回答 1查看 29.3K关注 0票数 16

kubernetes PodSecurityPolicy设置为runAsNonRoot,pod未启动post后发现错误:容器具有runAsNonRoot,图像具有非数字用户(appuser),无法验证用户是否是非根用户

我们将在停靠容器中创建用户(appuser) uid -> 999和组(appgroup) gid -> 999,并使用该用户启动容器。

但是创建的pod正在抛出错误。

代码语言:javascript
复制
    Events:
      Type     Reason                 Age                From                           Message
      ----     ------                 ----               ----                           -------
      Normal   Scheduled              53s                default-scheduler              Successfully assigned app-578576fdc6-nfvcz to appmagent01
      Normal   SuccessfulMountVolume  52s                kubelet, appagent01  MountVolume.SetUp succeeded for volume "default-token-ksn46"
      Warning  DNSConfigForming       11s (x6 over 52s)  kubelet, appagent01  Search Line limits were exceeded, some search paths have been omitted, the applied search line is: app.svc.cluster.local svc.cluster.local cluster.local 
      Normal   Pulling                11s (x5 over 51s)  kubelet, appagent01  pulling image "app.dockerrepo.internal.com:5000/app:9f51e3e7ab91bb835d3b85f40cc8e6f31cdc2982"
      Normal   Pulled                 11s (x5 over 51s)  kubelet, appagent01  Successfully pulled image "app.dockerrepo.internal.com:5000/app:9f51e3e7ab91bb835d3b85f40cc8e6f31cdc2982"
      Warning  Failed                 11s (x5 over 51s)  kubelet, appagent01  Error: container has runAsNonRoot and image has non-numeric user (appuser), cannot verify user is non-root

.
kubernetes
kubernetes-security
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2018-04-09 17:34:19

以下是验证的implementation

代码语言:javascript
复制
case uid == nil && len(username) > 0:
    return fmt.Errorf("container has runAsNonRoot and image has non-numeric user (%s), cannot verify user is non-root", username)

下面是带有注释的validation call

代码语言:javascript
复制
// Verify RunAsNonRoot. Non-root verification only supports numeric user.
if err := verifyRunAsNonRoot(pod, container, uid, username); err != nil {
    return nil, cleanupAction, err
}

正如您所看到的,在您的案例中出现这些消息的唯一原因是uid == nil。根据源代码中的注释,我们需要设置一个数字用户值。

因此,对于使用UID=999的用户,您可以在pod定义like that中执行此操作

代码语言:javascript
复制
securityContext:
    runAsUser: 999
票数 23
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/49720308

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档