gpt4 book ai didi

kubernetes - 如何找出我应该将 'user' 添加到哪个 'scc' ?

转载 作者:行者123 更新时间:2023-12-02 11:37:19 27 4
gpt4 key购买 nike

我正在尝试在我的 openshift 项目中运行 elasticsearch 容器。

我有错误:

Privileged containers are not allowed capabilities.add: Invalid value: "IPC_LOCK": capability may not be added capabilities.add: Invalid value: "SYS_RESOURCE": capability may not be added

我发现您需要将 privileged scc 添加到用户帐户(或创建自己的专用帐户)。

我试着关注文档 https://docs.openshift.com/container-platform/3.4/admin_guide/manage_scc.html其中给出了以下命令:

oc create serviceaccount mysvcacct -n myproject
oc adm policy add-scc-to-user privileged system:serviceaccount:myproject:mysvcacct

但是,没有任何线索给出什么是 mysvcacct 以及为什么它被称为 mysvcacct

因为我的项目叫做logging,所以我尝试了以下方法:

oc create serviceaccount logging -n logging
oc adm policy add-scc-to-user privileged system:serviceaccount:logging:logging

但它并没有改变任何东西。我不断收到同样的错误。

我在那里缺少什么?我应该使用什么名称而不是 mysvcacct

最佳答案

仅供引用,我介绍了yaml格式的例子。

  • 您可以使用 oc patch dc/your-deploymentConfigName 命令修改 ServiceAccount 名称,如下所示。
# oc patch dc/elasticsearch --patch '{"spec":{"template":{"spec":{"serviceAccountName": "logging"}}}}'
  • 或者使用 oc edit dc/your-deploymentConfigName,查看 serviceAccountName
# oc edit dc/elasticsearch
...
spec:
containers:
- image: docker-registry.default.svc:5000/test/...
imagePullPolicy: Always
name: web
ports:
- containerPort: 8080
protocol: TCP
resources: {}
terminationMessagePath: /dev/termination-log
terminationMessagePolicy: File
dnsPolicy: ClusterFirst
restartPolicy: Always
schedulerName: default-scheduler
securityContext: {}
serviceAccount: logging
serviceAccountName: logging

关于kubernetes - 如何找出我应该将 'user' 添加到哪个 'scc' ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55018385/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com