Какие-либо стандартные рекомендации по выбору идентификатора пользователя и группы для образов Docker в Dockerfile?

Question

Какие-либо стандартные рекомендации по выбору идентификатора пользователя и группы для образов Docker в Dockerfile?

Я обычно использовал в качестве идентификатора пользователя и идентификатора группы для моих контейнеров, но когда я развернул свое приложение на платформе OpenShift, у меня возникла ошибка при планировании модулей.

      unable to validate against any security context constraint: [fsGroup: Invalid value: []int64{1111}: 1111 is not an allowed group spec.containers[0].securityContext.securityContext.runAsUser: Invalid value: 1111: must be in the ranges: [1000750000, 1000759999]]

Я знаю, что это ограничение было наложено некоторым ограничением контекста безопасности (SCC) в кластере, которое не удовлетворяется моими модулями приложений. Я просто хотел понять, есть ли какие-то стандартные правила / рекомендации по выбору этих userId и GroupID. Любая помощь будет оценена по достоинству!

4

docker kubernetes openshift podsecuritypolicy

Источник

user7647706 07 июн '21 в 17:27

1 ответ

Другие вопросы по тегам docker kubernetes openshift podsecuritypolicy

user1338535 08 июн '21 в 14:39 2021-06-08 14:39 · Answer 1 · 2021-06-08 14:39

Согласно рекомендациям RedHat, ваш image should быть построенным таким образом, чтобы он мог run with an arbitrary user id. Итак, если вы последуете этому, вам не нужно указывать идентификатор пользователя в Dockerfile или в yaml-манифесте развертывания. Openshift автоматически выберет произвольный идентификатор пользователя (из диапазона) и запустит под ним модуль.

Проверьте эту ссылку для получения более подробной информации.