СХ
из-за того что ему потом аутентификацию проходить на прокси и керберосе
Size: a a a
2020 November 16
DS
проблема в том, что мне надо задать конкретного юзера
по хорошему надо собирать readOnly контейнер, в котором без разницы от какого юзера он запускатся. В том же openshift runAsUser рандомный uid ставит. У меня в кубе на каждый namespace тоже пачка uid'ом замаплена. Если контейнер не запускается от другого uid, пусть прогер переделывает нормально
СХ
по хорошему надо собирать readOnly контейнер, в котором без разницы от какого юзера он запускатся. В том же openshift runAsUser рандомный uid ставит. У меня в кубе на каждый namespace тоже пачка uid'ом замаплена. Если контейнер не запускается от другого uid, пусть прогер переделывает нормально
ну вот нельзя, безопасники сказали конкретного юзера и аутентификацию на проксе и керберосе
СХ
спорить с безопасниками дело бесполезное
DS
ну вот нельзя, безопасники сказали конкретного юзера и аутентификацию на проксе и керберосе
херовые безопасники, раз уж полагаются на юзера в контейнере.
СХ
херовые безопасники, раз уж полагаются на юзера в контейнере.
ну это уже не ко мне
СХ
я изменить ничего не могу этого, вот надо задать конкретного юзера
DS
Ставь
runAsNonRoot: true, + он запустит от юзера что в Dockerfile указан, но если там указан root, то он вроде не даст создать pod. - хотя уже не помнюZ
из-за того что ему потом аутентификацию проходить на прокси и керберосе
RunAsUserName пробовал?
СХ
Ставь
runAsNonRoot: true, + он запустит от юзера что в Dockerfile указан, но если там указан root, то он вроде не даст создать pod. - хотя уже не помнюну то есть надо собирать новый образ, и заводить юзера через докерфайл
DS
RunAsUserName пробовал?
нет такого
СХ
нет такого
есть для win контейнеров
СХ
в винде нет uid
AL
есть для win контейнеров
СХ
нет такого
DS
ну то есть надо собирать новый образ, и заводить юзера через докерфайл
так если в образе не создан юзер, смысл тогда от его имени запускать приложуху в контейнере? Тогда ты можешь просто указать любой uid через
runAsUser он и так запустить приложуху от указанного тобой uidСХ
так если в образе не создан юзер, смысл тогда от его имени запускать приложуху в контейнере? Тогда ты можешь просто указать любой uid через
runAsUser он и так запустить приложуху от указанного тобой uidсмысл в том, что керберос и прокси берут имя юзера
СХ
при
environment:
- USER= "user"
СХ
при этом его не нужно указывать в докерфайле
Z
нет такого
есть для винды. но не факт, что на линуксе. хотя можно попробовать