kubernetes自定义pod启动用户

一、kubernetes自定义pod启动用户

  一）以root用户启动pod

containers:
  - name: ...
    image: ...
    securityContext:
      runAsUser: 0

  二）以普通用户启动pod

　　1、从构建镜像角度修改

# RUN命令执行创建用户和用户组（命令创建了一个用户newuser设定ID为10000，并指定了用户登录后使用的主目录和shell）
RUN groupadd --gid 10000 newuser \
  && useradd --home-dir /home/newuser --create-home --uid 10000 --gid 10000 --shell /bin/sh --skel /dev/null newuser

# 指定用户，从这一行往下开始的每个命令都是以newuser身份而不是root身份运行（比如后面的CMD、EntryPoint）
USER newuser

 　　2、从容器启动方式角度修改

　　可以使用Pod安全上下文，将Pod的执行限制为特定的非root用户。

　　通过Pod构建文件中添加securityContext来配置Pod的安全设置

apiVersion: v1
kind: Pod
metadata:    
  name: pod-helloworld
spec:  
  securityContext: 
    runAsNonRoot: true
    runAsUser: 10000
    runAsGroup: 10000
    fsGroup: 10000    

　　runAsUser指定Pod内的任何容器仅以userID为10000的运行，runAsGroup指定的容器内所有进程的组ID（组ID不指定默认为0）。你可以先进入容器，然后使用 ps 命令查看进程的用户。

  三）以root用户进入pod

　　1、首先找到你需要进入对应namespace的pod名

kubectl get pod|grep podname

　　2、找到pod所在的节点以及容器id

kubectl describe pod “pod名”
在所给信息中找到以下字段：

Node：所查pod所在的节点

Container ID：所查pod的容器id,形如docker://...，注意Container ID 不包括docker://

　　3、ssh到pod对应节点

　　4、以root用户权限进入pod

docker exec -it -u root 'Container ID' /bin/bash