kubernetes - 在端口 80(hostNetwork)上使用 helm3 安装 traefik 的权限问题-6ren

kubernetes - 在端口 80(hostNetwork)上使用 helm3 安装 traefik 的权限问题

转载作者：行者123 更新时间：2023-12-04 16:38:16

31

4

我正在学习 helm3 和 k8s (microk8s)。
在尝试以下命令时:

helm install traefik traefik/traefik  -n traefik --values traefik-values.yaml

并且 traefik-values.yaml 具有以下值:

additionalArguments:
  - "--certificatesresolvers.letsencrypt.acme.email=<my-email>"
  - "--certificatesresolvers.letsencrypt.acme.storage=/data/acme.json"
  - "--certificatesresolvers.letsencrypt.acme.caserver=https://acme-v02.api.letsencrypt.org/directory"
  - "--certificatesResolvers.letsencrypt.acme.tlschallenge=true"
  - "--api.insecure=true"
  - "--accesslog=true"
  - "--log.level=INFO"
hostNetwork: true
ipaddress: <my-ip>
service:
  type: ClusterIP
ports:
  web:
    port: 80
  websecure:
    port: 443

我收到此绑定(bind)权限错误

traefik.go:76: command traefik error: error while building entryPoint web: error preparing server: error opening listener: listen tcp :80: bind: permission denied

另一方面，我可以使用以下 yaml 在相同的端口(80 和 443)上安装 Traefik文件(大约是 Traefik's site 上的示例):

---
apiVersion: v1
kind: Namespace
metadata:
  name: traefik
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: traefik-ingress-controller
  namespace: traefik
---
kind: DaemonSet
apiVersion: apps/v1
metadata:
  name: traefik-ingress-controller
  namespace: traefik
  labels:
    k8s-app: traefik-ingress-lb
spec:
  selector:
    matchLabels:
      k8s-app: traefik-ingress-lb
      name: traefik-ingress-lb
  template:
    metadata:
      labels:
        k8s-app: traefik-ingress-lb
        name: traefik-ingress-lb
    spec:
      tolerations:
      - effect: NoSchedule
        operator: Exists
      serviceAccountName: traefik-ingress-controller
      terminationGracePeriodSeconds: 60
      hostNetwork: true
      containers:
      - image: traefik:2.4
        name: traefik-ingress-lb
        ports:
        - name: http
          containerPort: 80
          hostPort: 80
        # - name: admin
        #   containerPort: 8080
        #   hostPort: 8080
        securityContext:
          capabilities:
            drop:
            - ALL
            add:
            - NET_BIND_SERVICE
        args:
        - --providers.kubernetesingress=true
        # you need to manually set this IP to the incoming public IP
        # that your ingress resources would use. Note it only affects
        # status and kubectl UI, and doesn't really do anything
        # It could even be left out https://github.com/containous/traefik/issues/6303
        - --providers.kubernetesingress.ingressendpoint.ip=<my-server-ip>
        ## uncomment these and the ports above and below to enable
        ## the web UI on the host NIC port 8080 in **insecure** mode
        - --api.dashboard=true
        - --api.insecure=true
        - --log=true
        - --log.level=INFO
        - --accesslog=true
        - --entrypoints.web.address=:80
        - --entrypoints.websecure.address=:443
        - --certificatesresolvers.leresolver.acme.tlschallenge=true # <== Enable TLS-ALPN-01 to generate and renew ACME certs
        - --certificatesresolvers.leresolver.acme.email=<email> # <== Setting email for certs
        - --certificatesresolvers.leresolver.acme.storage=/data/acme.json # <== Defining acme file to store cert information
        
---
kind: Service
apiVersion: v1
metadata:
  name: traefik-ingress-service
  namespace: traefik
spec:
  selector:
    k8s-app: traefik-ingress-lb
  ports:
    - protocol: TCP
      port: 80
      name: web
    # - protocol: TCP
      # port: 8080
      # name: admin
---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: traefik-ingress-controller
rules:
  - apiGroups:
      - ""
    resources:
      - services
      - endpoints
      - secrets
    verbs:
      - get
      - list
      - watch
  - apiGroups:
      - extensions
    resources:
      - ingresses
    verbs:
      - get
      - list
      - watch
---
kind: ClusterRoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: traefik-ingress-controller
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: traefik-ingress-controller
subjects:
- kind: ServiceAccount
  name: traefik-ingress-controller
  namespace: traefik

这两个规范并不相同，但据我所知非常相似。他们都在“traefik”命名空间中创建了一个 ServiceAccount 并授予一个 ClusterRole。
什么部分决定了80端口的权限？

最佳答案

有一个 open issue在 Traefik Helm chart 上 where Jasper Ben建议一个有效的解决方案:

hostNetwork: true
ports:
  web:
    port: 80
    redirectTo: websecure
  websecure:
    port: 443

securityContext:
  capabilities:
    drop: [ALL]
    add: [NET_BIND_SERVICE]
  readOnlyRootFilesystem: true
  runAsGroup: 0
  runAsNonRoot: false
  runAsUser: 0

Helm chart 中缺失的部分是 NET_BIND_SERVICE securityContext 中的能力。

关于kubernetes - 在端口 80(hostNetwork)上使用 helm3 安装 traefik 的权限问题，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/66138370/

31

4

0

文章推荐： c# - 如果 EF Core 5 以多对多关系播种数据

文章推荐： Python 输入元组

文章推荐： python - SpaCy 3 变压器矢量标记对齐

traefik - 在多个域中使用 Traefik
我正在尝试使用两个域和使用 Let's Encrypt 生成的证书来设置 traefik 的 dockerized 版本。我已经修改了 traefik.toml 看起来像这样: [acme] e
traefik - traefik.domain 和 traefik.frontend.rule=Host 有什么区别
traefik.frontend.rule=Host:example.com 将对 example.com 的请求重定向到该后端。那么traefik.domain有什么用呢？最佳答案默认前端规则为
traefik - traefik.domain 和 traefik.frontend.rule=Host 有什么区别
traefik.frontend.rule=Host:example.com 将对 example.com 的请求重定向到该后端。那么traefik.domain有什么用呢？最佳答案默认前端规则为
traefik - 使用 Traefik 将路径重定向到同一个容器但不同的端口
我使用 docker compose(运行 swarm 模式)进行了以下设置: mydomain.com --> ContainerA:8080 但我想要的是通过标签，为同一个容器指定以下内容: my
traefik - 为 Traefik 定义主机和路径前端规则
我正在尝试使用 Traefik 在我的 Docker Swarm 模式集群中部署代理多个应用程序。我已经得到它以便它代理一个命名的主机，但我希望它代理一个命名的主机和路径，但我无法计算出我需要使用的
traefik - 如何验证 Traefik 配置
我绝对爱上了 Traefik。然而，作为初学者，我想念 Nginx 风格 nginx -t来验证配置文件。我在 docker 容器中运行 traefik，每当我更新我的配置文件(*.toml 文件)
docker - Traefik V2.2.1 - 除 Traefik 服务外的所有服务都返回 [NET::ERR_CERT_AUTHORITY_INVALID] 并使用 [TRAEFIK DEFAULT CERT]
我决定将 traefik 的版本从 1.7.x 升级到 2.2.1。所以我遵循了上述解决方案的指导方针(https://gist.github.com/fatihyildizhan/8f124039
traefik - 使用 traefik 重写内容 URL
我们使用 traefik 来反向代理我们的微服务环境，在 Kubernetes 的 staging 和 prod 上运行，并在本地使用 docker-compose。我们正在尝试将请求代理到特定微服务
traefik - 如何为 traefik 启用 logrotation？
如何为日志文件启用日志轮换，例如访问.log。这是内置的吗？文档只说“这允许日志由外部程序旋转和处理，例如 logrotate” 最佳答案如果您正在运行 Traefik 在 docker 容器然
traefik - 使用 Traefik 的 VueJS 路由器历史记录模式
我需要像这样重写我的应用程序的 URL:https://router.vuejs.org/guide/essentials/history-mode.html#example-server-confi
traefik - 使用 Traefik 进行 SSL 直通
我需要将 SSL 连接直接发送到后端，而不是在我的 Traefik 上解密。后端需要接收https请求。我尝试了 traefik.frontend.passTLSCert=true 选项，但是当我访
traefik - Traefik HTTPS 后端在端口 443 上出现内部服务器错误
使用 docker，我尝试使用 HTTPS 端口 443 设置 traefik 后端，因此 traefik 容器和应用程序容器(apache 2.4)之间的通信将被加密。我收到了 Internal
traefik - 将流量直接传递到容器以回答 Traefik 中的 LetsEncrypt 挑战
我有一个容器('矩阵')，基于 https://github.com/silvio/docker-matrix (虽然这可能并不重要)。它在端口 8448 和 3478(不是 80 或 443)上运
docker - 使用 Traefik 路由 Traefik UI
我是 Docker 和 Traefik 的新手，所以我决定和他们一起玩一下。我试着按照这个 digital ocean 教程:https://www.digitalocean.com/communit
traefik - 使用 traefik 作为第二台服务器上非 Docker 服务的反向代理
我有一个“服务器”设置，在容器中运行多个服务，其中 traefik 工作得很好。我想为在单独计算机上运行的服务添加虚拟主机，以便我可以访问 hassio.domain.com 并转发到该服务器。有一次
traefik - Traefik 中是否有等效于 Apache 的 ReverseProxyPass？
我已经将 Traefik 设置为在 Docker Swarm 模式下工作。我已使用以下命令将 Portainer 部署到集群中: docker service create
traefik - 在 Traefik 中的 ForwardAuth 之后设置授权 header
我正在从 Nginx 迁移到 Traefik 作为 Docker Swarm 的反向代理。目前，每个带有 Bearer Token 的请求都会被发送到身份验证服务(在 Swarm 中运行的微服务)，
traefik - Traefik 中的 Path 和 PathPrefix 匹配问题
使用 docker 容器中的 Traefix 1.2.3 版，我设置了以下文件。 traefik: image: traefik command: --web --docker --docke
traefik - 使用 LetsEncrypt 和多个 Docker 后端部署 Traefik
我正在考虑为我的网络项目 (Kestrel/.Net Core) 将 Apache 替换为 Traefik。阅读文档后，关于 Traefik，我还有一些不清楚的地方: 1/Traefik 是否自动处理
traefik - "WWW"到 "Non-WWW"使用 Traefik 的请求变量重定向？
我提前为我对 Traefik 的新手理解道歉，但有没有办法重写“非 www”域带有基于请求的变量 ? 我已经在谷歌上搜索了一个多小时，找不到答案。这是我如何在 Apache 中执行此操作的示例。你

首页

博学

6Ren·AI

商城

kubernetes - 在端口 80(hostNetwork)上使用 helm3 安装 traefik 的权限问题