27.5.3. Ceph 卷安全性


注意

在实施 Ceph RBD 卷前,请参阅完整的卷安全性

共享卷(NFS 和 GlusterFS)与块卷(Ceph RBD、iSCSI 和大多数云存储)之间的显著区别是,容器集定义或容器镜像中定义的用户和组 ID 应用到目标物理存储。这称为管理块设备的所有权。例如,如果 Ceph RBD 挂载的所有者设为 123,其组 ID 设为 567,如果 pod 定义了 runAsUser 设为 222,并且其 fsGroup 设为 7777,则 Ceph RBD 物理挂载的所有权将更改为 222:7777

注意

即使 pod 规格中没有定义用户和组群 ID,生成的 pod 可以根据匹配的 SCC 或其项目为这些 ID 定义默认值。请参阅完整的 卷安全性 主题,它们涵盖了 SCC 的存储方面和默认值。

pod 使用 pod 的 securityContext 定义下的 fsGroup 小节来定义 Ceph RBD 卷的组所有权:

spec:
  containers:
    - name:
    ...
  securityContext: 1
    fsGroup: 7777 2
1
securityContext 必须在 pod 一级定义,而不是在特定容器中定义。
2
pod 中的所有容器将具有相同的 fsGroup ID。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.