为Pods配置卷权限和所有权更改策略

Configure volume permission and ownership change policy for Pods

特性状态: Kubernetes v1.20 [beta]

默认情况下,Kubernetes递归地更改每个卷内容的所有权和权限,以匹配当挂载该卷时PodsecurityContext中指定的fsGroup。 对于大量数据,检查和更改所有权和权限会花费大量时间,从而减慢Pod的启动。

您可以使用securityContext中的fsGroupChangePolicy字段来控制Kubernetes检查和管理卷的所有权和权限的方式。

fsGroupChangePolicy解析

fsGroupChangePolicy定义了在将卷暴漏给Pod之前更改卷的所有权和权限的行为。 此字段仅适用于支持fsGroup控制的所有权和权限的卷类型。该字段有两个可能的值:

  • OnRootMismatch: 如果根目录的权限和所有权与卷的预期权限不匹配,将更改权限和所有权。这可以帮助缩短更改卷的所有权和许可所需的时间。
  • Always: 总是在挂载卷时更改卷的权限和所有权

样例

securityContext:
  runAsUser: 1000
  runAsGroup: 3000
  fsGroup: 2000
  fsGroupChangePolicy: "OnRootMismatch"

注意: 该字段对临时卷类型(如secret、configMap和emptydir)没有影响。

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:41

results matching ""

    No results matching ""