1.3.23.6. namespace および Pod レベルで fsGroupChangePolicy および seLinuxChangePolicy を設定します

ボリュームの特定の操作により Pod の起動に遅延が発生し、Pod のタイムアウトが生じる可能性があります。

fsGroup: 多数のファイルを含むボリュームの場合、ボリュームがマウントされるときに、OpenShift Container Platform が、Pod の securityContext で指定された fsGroup と一致するように、各ボリュームの内容の所有権と権限をデフォルトで再帰的に変更するため、Pod の起動タイムアウトが発生する可能性があります。これは時間がかかり、Pod の起動が遅くなる可能性があります。securityContext 内の fsGroupChangePolicy パラメーターを使用して、OpenShift Container Platform がボリュームの所有者および権限を確認し管理する方法を制御できます。

Pod レベルでこのパラメーターを変更する機能は、OpenShift Container Platform 4.10 で導入されました。4.20 では、一般提供される機能として、Pod レベルに加えて、このパラメーターを namespace レベルに設定できます。

SELinux: SELinux (Security-Enhanced Linux) は、システム上のすべてのオブジェクト (ファイル、プロセス、ネットワークポートなど) にセキュリティーラベル (コンテキスト) を割り当てるセキュリティーメカニズムです。これらのラベルにより、プロセスが何にアクセスできるか決まります。Pod が起動すると、コンテナーランタイムは、Pod の SELinux コンテキストに合わせて、ボリューム上のすべてのファイルに対して再帰的にラベルの再設定を行います。ファイルが多いボリュームの場合、これにより Pod の起動時間が大幅に長くなる可能性があります。マウントオプションは、-o context マウントオプションを使用して正しい SELinux ラベルでボリュームを直接マウントしようとすることで、すべてのファイルの再帰的なラベル付けを回避するように指定します。これにより、Pod のタイムアウト問題を回避することができます。

RWOP および SELinux マウントオプション: ReadWriteOncePod (RWOP) 永続ボリュームは、デフォルトで SELinux マウント機能を使用します。マウントオプションは、テクノロジープレビュー機能として OpenShift Container Platform 4.15 で導入され、4.16 で一般提供されるようになりました。

RWO、RWX および SELinux マウントオプション: ReadWriteOnce (RWO) および ReadWriteMany (RWX) ボリュームは、デフォルトでラベルの再帰的な再設定を使用します。RWO/RWX のマウントオプションは、OpenShift Container Platform 4.17 で開発者プレビュー機能として導入されましたが、現在は 4.20 でテクノロジープレビュー機能としてサポートされています。

今後のマウントオプションのデフォルトへの移行を支援するために、OpenShift Container Platform 4.20 では、潜在的な競合を知らせるために Pod の作成時および Pod の実行時に SELinux 関連の競合を報告し、解決できるようにします。このレポートの詳細については、こちらの ナレッジベースの記事 を参照してください。

SELinux 関連の競合を解決できない場合は、選択した Pod または namespace のデフォルトとして、今後のマウントオプションへの移行を事前にオプトアウトできます。

OpenShift Container Platform 4.20 では、RWO および RWX ボリュームのマウントオプション機能をテクノロジープレビュー機能として評価できます。

fsGroup の詳細は、fsGroup を使用して Pod のタイムアウトを減らす を参照してください。

SELinux の詳細は、seLinuxChangePolicy を使用して Pod のタイムアウトを減らす を参照してください。