DS
нет пока никакого psp запускается под пользаком хоста, какой там uid попадется
не понимаю что ты написал)). И причем тут пользователи на хосте тоже
Size: a a a
2020 March 06
V
получается част ьподов без USER в имедже под рутом, а часть подов с USER в имедже под другим пользаком
DS
получается част ьподов без USER в имедже под рутом, а часть подов с USER в имедже под другим пользаком
И в чем задача?
A
то есть, все равно этим параметром указывается на хосте под какоим uid запускается основной процесс
Если у контейнера отдельный userns, то хостовый uid процесса не будет совпадать с внутриконтейнерным (который ты указал). Если userns не используется, то пространство идентификаторов будет общее. Но тут главное, чтобы uid не был нулевым. А совпадает ли он с uid-ом юзера вне контейнера — дело уже десятое, если ты другие namespace-ы не отключаешь.
V
И в чем задача?
запускать под 1 пользаком не рутом все поды в немспейсе, под одним пользаком
DS
запускать под 1 пользаком не рутом все поды в немспейсе, под одним пользаком
psp 🤷♂️
A
получается част ьподов без USER в имедже под рутом, а часть подов с USER в имедже под другим пользаком
Что такое по-твоему "пользователь"?
V
Alexander
Что такое по-твоему "пользователь"?
поле USER в top на хосте
DS
запускать под 1 пользаком не рутом все поды в немспейсе, под одним пользаком
ну или можешь переписать везде USER
DS
поле USER в top на хосте
Тебе уже сказали что можно переопределять пользователей через
1. psp: MustRunAs + ranges
2. securityContext в поде
3. USER в dockerfile
Что тебе еще нужно, я не понимаю. И причем тут пользователи на хостах тоже. Но ты можешь их создавать на хостах если хочешь, никто не мешает.
1. psp: MustRunAs + ranges
2. securityContext в поде
3. USER в dockerfile
Что тебе еще нужно, я не понимаю. И причем тут пользователи на хостах тоже. Но ты можешь их создавать на хостах если хочешь, никто не мешает.
A
поле USER в top на хосте
Если ты про значение поля uid процесса в ядре, тогда почему тебя беспокоит совпадение uid-ов?
DS
Alexander
Если ты про значение поля uid процесса в ядре, тогда почему тебя беспокоит совпадение uid-ов?
+
V
Alexander
Если ты про значение поля uid процесса в ядре, тогда почему тебя беспокоит совпадение uid-ов?
если такого пользака нет на хосте, то запускается то сопоставляется uid этого пользака в контейнере и запускается под пользователем с этим uid на хосте, а я не хочу, чтоб под каким-то пользаком хоста запускалось)
V
рандомному, который соответствует этому uid
A
если такого пользака нет на хосте, то запускается то сопоставляется uid этого пользака в контейнере и запускается под пользователем с этим uid на хосте, а я не хочу, чтоб под каким-то пользаком хоста запускалось)
Что значит "нет на хосте"? У тебя директива USER выставляет uid процессу в ядре.
VR
кубеня все равно на рут завязаны, юзеры на хосте никак не учитываются (пока не доделают Usernetes)
DS
если такого пользака нет на хосте, то запускается то сопоставляется uid этого пользака в контейнере и запускается под пользователем с этим uid на хосте, а я не хочу, чтоб под каким-то пользаком хоста запускалось)
а теперь прочитай то, что ты написал
A
Что там вне контейнера с этим uid-ом — по барабану
A
Alexander
Что там вне контейнера с этим uid-ом — по барабану
Если uid != 0, конечно.
DS
если такого пользака нет на хосте, то запускается то сопоставляется uid этого пользака в контейнере и запускается под пользователем с этим uid на хосте, а я не хочу, чтоб под каким-то пользаком хоста запускалось)
у тебя ВСЕ процессы будут с каким-то uid на хосте. И без разницы сущесвтует он в /etc/passwd или нет