我知道这个问题被问了很多次,但都是关于 docker 的,这次是 crio。
CentOS Linux release 7.6
CRI-O Version: 1.16.1
Kubernetes: v1.16.3
KubeAdm: v1.16.3
CoreDNS pod 处于 Error/CrashLoopBackOff 状态,audit.log 显示 selinux 阻止 CoreDNS 读取/var/lib/kubelet/container_id/volumes/
type=AVC msg=audit(1576203392.727:1431): avc: denied { read } for pid=15866 comm="coredns" name="Corefile" dev="dm-0" ino=35369330 scontext=system_u:system_r:container_t:s0:c307,c586 tcontext=system_u:object_r:var_lib_t:s0 tclass=file permissive=1
type=AVC msg=audit(1576203392.727:1431): avc: denied { open } for pid=15866 comm="coredns" path="/etc/coredns/..2019_12_13_02_13_30.965446608/Corefile" dev="dm-0" ino=35369330 scontext=system_u:system_r:container_t:s0:c307,c586 tcontext=system_u:object_r:var_lib_t:s0 tclass=file permissive=1
type=AVC msg=audit(1576203393.049:1432): avc: denied { open } for pid=15866 comm="coredns" path="/var/run/secrets/kubernetes.io/serviceaccount/..2019_12_13_02_13_30.605147375/token" dev="tmpfs" ino=124481 scontext=system_u:system_r:container_t:s0:c307,c586 tcontext=system_u:object_r:tmpfs_t:s0 tclass=file permissive=1
如果我使用比 1.7 新的 docker,它工作正常,我认为这可能与使用 z/Z 选项安装卷的补丁有关。
我可以像下面一样添加策略,但这会损害安全性。
module coredns 0.1;
require {
type tmpfs_t;
type container_t;
type var_lib_t;
class file { open read };
}
allow container_t tmpfs_t:file open;
allow container_t var_lib_t:file { open read };
还有更好的解决方案吗?就像 docker 一样,只需付出一点努力,并且不会损害安全性。
最佳答案
在主机上执行以下操作
chcon -R -t 容器文件_t /var/lib/kubelet/container_id/volumes
这将更改主机卷上的标签,以便容器 SELinux 标签可以访问。
我不知道有什么好方法来处理 secret 的传递。但添加
允许container_t tmpfs_t:文件打开;
可能是最好的。
我相信,在 OpenShift 中,这些都是自动处理的。尽管我不在那个级别的堆栈上工作。
关于kubernetes - 使用 crio 且 selinux 打开时 coredns 无法启动,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59463038/