Red Hat Summit3.6. fsGroup を使用して Pod のタイムアウトを減らす
ストレージボリュームに多数のファイル (たとえば、100 万以上) が含まれている場合、Pod のタイムアウトが発生する可能性があります。
これは、デフォルトで、Red Hat OpenShift Service on AWS が各ボリュームのコンテンツの所有権と権限を再帰的に変更して、そのボリュームがマウントされたときに Pod の securityContext で指定された fsGroup に一致させるために発生する可能性があります。多くのファイルが含まれるボリュームの場合、所有権と権限の確認と変更に時間がかかり、Pod の起動が遅くなる可能性があります。securityContext 内の fsGroupChangePolicy フィールドを使用して、Red Hat OpenShift Service on AWS がボリュームの所有権と権限をチェックおよび管理する方法を制御できます。
fsGroupChangePolicy は、Pod 内で公開される前にボリュームの所有者およびパーミッションを変更する動作を定義します。このフィールドは、fsGroup によって制御される所有権と権限をサポートするボリュームタイプにのみ適用されます。このフィールドには、以下の 2 つの値を指定できます。
-
OnRootMismatch: ルートディレクトリーのパーミッションと所有者が、ボリュームの予想されるパーミッションと一致しない場合にのみ、パーミッションと所有者を変更します。これにより、ボリュームの所有者とパーミッションを変更するのに必要な時間を短縮でき、Pod のタイムアウトを減らすことができます。 -
Always: (デフォルト) ボリュームのマウント時に、常にボリュームのパーミッションと所有者を変更します。
fsGroupChangePolicy は、secret、configMap、emptydir などの一時ボリュームタイプには影響を及ぼしません。
fsGroupChangePolicy は、namespace レベルまたは Pod レベルで設定できます。
3.6.1. namespace レベルで fsGroup を変更する
任意の fsGroupChangePolicy 設定を namespace レベルで適用すると、その後その namespace に作成されるすべての Pod に、その設定が継承されます。ただし、個々の Pod に継承された fsGroupChangePolicy 設定は、必要に応じてオーバーライドできます。Pod レベルで fsGroupChangePolicy を設定すると、その Pod に継承された namespace レベルの設定がオーバーライドされます。
前提条件
- 管理者特権で Red Hat OpenShift Service on AWS クラスターにログインした。
- Red Hat OpenShift Service on AWS にアクセスできる。
手順
namespace ごとに fsGroupChangePolicy を設定するには、以下を実行します。
任意の namespace を選択します。
- Administration > Namespaces をクリックします。
- Namespaces ページで、任意の namespace をクリックします。Namespace details ページが表示されます。
fsGroupChangePolicyラベルを namespace に追加します。- Namespace details ページで、Labels の横にある Edit をクリックします。
Edit labels ダイアログで、
storage.openshift.io/fsgroup-change-policyラベルを追加し、次のいずれかと同じ設定にします。-
OnRootMismatch: ルートディレクトリーの権限と所有権が、ボリュームの予期される権限と一致しない場合にのみ、権限と所有権を変更することを指定します。これは、Pod のタイムアウト問題を回避するために役立ちます。 -
Always: (デフォルト) ボリュームがマウントされるたびに、ボリュームの権限と所有権を必ず変更することを指定します。
-
- Save をクリックします。
検証
以前に編集した namespace で Pod を起動し、namespace に設定した値が spec.securityContext.fsGroupChangePolicy パラメーターに含まれていることを確認します。
fsGroupChangePolicy 設定を示す Pod YAML ファイルの例
- 1
- この値は namespace から継承されます。
3.6.2. Pod レベルで fsGroup を変更する
新規または既存のデプロイメントで fsGroupChangePolicy パラメーターを設定すると、管理する Pod にこのパラメーター値が適用されます。同様に、Statefulset でもこれを行うことができます。既存の Pod を編集して fsGroupChangePolicy を設定することはできませんが、新しい Pod を作成するときにこのパラメーターを設定することはできます。
この手順では、既存のデプロイメントで fsGroupChangePolicy パラメーターを設定する方法について説明します。
前提条件
- Red Hat OpenShift Service on AWS にアクセスできる。
手順
既存のデプロイメントで fsGroupChangePolicy パラメーターを設定するには、以下を実行します。
- Workloads > Deployments をクリックします。
- Deployment ページで、任意のデプロイメントをクリックします。
- Deployment details ページで、YAML タブをクリックします。
次のサンプルファイルを使用して、
spec.template.spec.securityContextの下にあるデプロイメントの YAML ファイルを編集します。fsGroupChangePolicyを設定するデプロイメント YAML ファイルの例Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
OnRootMismatchは、再帰的なパーミッション変更をスキップさせるため、Pod のタイムアウトの問題を回避するのに役立ちます。デフォルト値はAlwaysです。ボリュームがマウントされるたびに必ずボリュームの権限と所有権が変更されます。
- Save をクリックします。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}