Permettre Privilégié des Conteneurs dans Kubernetes sur Google Conteneur (GKE)

Je suis à l'aide d'un Kubernetes cluster déployée par Google Container Engine (GKE) à partir du Cloud Google Developer Console, cluster version 0.19.3. Je voudrais lancer un privilégié conteneur, comme dans le Kubernetes Serveur NFS exemple:

apiVersion: v1
kind: Pod
metadata:
  name: nfs-server
  labels:
    role: nfs-server
spec:
  containers:
    - name: nfs-server
      image: jsafrane/nfs-data
      ports:
        - name: nfs
          containerPort: 2049
      securityContext:
        privileged: true

Car la valeur par défaut de Google Container Engine configuration ne permet pas privilégié les conteneurs, la Kubernetes API imediately renvoie l'erreur suivante:

Erreur de serveur: Pod "nfs-server" n'est pas valide: spec.les conteneurs[0].securityContext.privilégié: interdit '<*>(0xc20a027396)true'

Comment puis-je permettre privilégié des conteneurs dans mon Google Container Engine cluster?

OriginalL'auteur Caleb | 2015-06-29

  1. 8

    Mise à jour: mode Privilégié est maintenant activé par défaut à partir de la version 1.1 de Kubernetes, qui est maintenant disponible dans Google Container Engine.

    Cours d'exécution privilégié de conteneurs (y compris le serveur NFS dans cet exemple) n'est actuellement pas possible dans Google Container Engine. Nous cherchons des façons de résoudre ce (ajout d'un drapeau lors de la création de votre cluster pour permettre privilégié des conteneurs; faire privilégiée des conteneurs partie de contrôle d'admission; etc). Pour l'instant, si vous devez exécuter des privilégiés containers dont vous aurez besoin pour lancer votre propre cluster à l'aide de la CME fournisseur.

    Merci pour la mise à jour, j'espère que ce sera ajouté bientôt!
    Maintenant que Kubernetes est 1.0, ils en parlent dans leurs docs ici: kubernetes.io/v1.0/examples/nfs/README.html (Seulement pour la référence)
    Google Container Engine ne marche toujours pas le support du mode privilégié avec la 1.0 Kubernetes libération. Il soutiendra mode privilégié une fois la version 1.1 est où privilégié ce mode est activé par défaut.
    Mise à jour: mode Privilégié est maintenant activé par défaut à partir de la version 1.1 de Kubernetes, qui est maintenant disponible dans Google Container Engine.

    OriginalL'auteur Robert Bailey

  2. 0

    Ce post en parler (à la fin).

    Que Github Question traite de la allow_privileged drapeau pour le déployer-it-yourself solution d'un Sel de fournisseur (gce, aws, vagabond), mais pas pour Google Container Engine (gke), qui est géré de Google Cloud Platform service
    Il aura besoin de la allow_privileged=true pour définir un cluster non ? Je comprend de la manière dont vous expliquez à votre propre cluster à l'aide de la CME fournisseur". Suis-je tort ?
    Le kube-jenkins-imageur projet de se rendre sur le moyen de mesure privilégié (github.com/GoogleCloudPlatform/kube-jenkins-imager/blob/master/...). C'est un gke projet. Il a couru, mais la astuces semble ne pas fonctionner pour l'instant. (Les modifications de clusters de nom peut-être ?)
    GKE clusters (cloud.google.com/container-engine) sont entièrement gérés par Google. Robert travaille chez Google et confirmé qu'ils sont de travail pour exposer la allow_privileged option, mais ce n'est pas encore disponible.
    Je ne comprenais pas, car la connexion au nœud, allant de la configuration de commutation et allow_privileged=true a fait le travail sur conteneur moteur. Je l'ai fait pendant un mois. MAIS !, il semble que ça ne marche pas plus avec la v0.19 de k8s. Il y a une introduction de la gestion de la master qui se cassent la figure.

    OriginalL'auteur Thibault Deheurles