apiVersion: v1
kind: PersistentVolume
metadata:
name: pv0001 (1)
spec:
capacity:
storage: 5Gi (2)
accessModes:
- ReadWriteOnce (3)
nfs: (4)
path: /tmp (5)
server: 172.17.0.2 (6)
persistentVolumeReclaimPolicy: Retain (7)- 文档
- OpenShift Container Platform
- 存储
- 配置持久化存储
- 使用 NFS 的持久化存储 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将只能在 docs.redhat.com(所有 Red Hat 产品文档的所在地)访问。立即体验 新的文档体验。
- 关于
- 发行说明
- 入门
- 架构
- 断开连接的环境
- 安装
- 安装概述
- 在阿里云上安装
- 在 AWS 上安装
- 在 Azure 上安装
- 在 Azure Stack Hub 上安装
- 在 GCP 上安装
- 准备在 GCP 上安装
- 配置 GCP 项目
- 在 GCP 上快速安装集群
- 在 GCP 上使用自定义配置安装集群
- 在 GCP 上使用网络自定义配置安装集群
- 在 GCP 受限网络中安装集群
- 在 GCP 中将集群安装到现有 VPC 中
- 在 GCP 中将集群安装到共享 VPC 中
- 在 GCP 上安装私有集群
- 使用 Deployment Manager 模板在 GCP 上安装集群
- 使用 Deployment Manager 模板在 GCP 上将集群安装到共享 VPC 中
- 在 GCP 受限网络中使用用户预配的基础设施安装集群
- 在 GCP 上安装三节点集群
- GCP 的安装配置参数
- 卸载 GCP 上的集群
- 安装支持配置多架构计算机的 GCP 集群
- 在 IBM Cloud 上安装
- 在 Nutanix 上安装
- 使用辅助安装程序进行本地安装
- 使用基于代理的安装程序安装本地集群
- 在单节点上安装
- 在裸机上安装
- 在裸机上部署安装程序配置的集群
- 在 IBM Cloud (经典版) 上安装
- 在 IBM Z 和 IBM LinuxONE 上安装
- 在 IBM Power 上安装
- 在 IBM Power 虚拟服务器上安装
- 在 OpenStack 上安装
- 准备在 OpenStack 上安装
- 准备在 OpenStack 上安装使用 SR-IOV 或 OVS-DPDK 的集群
- 在 OpenStack 上安装集群(含自定义配置)
- 在您自己的基础架构上的 OpenStack 上安装集群
- 在 OpenStack 受限网络中安装集群
- 在 OpenStack 上安装三节点集群
- 安装 OpenStack 后配置网络设置
- OpenStack 云控制器管理器参考指南
- 在 OpenStack 上使用本地磁盘上的 rootVolume 和 etcd 部署
- 卸载 OpenStack 上的集群
- 从您自己的基础架构卸载 OpenStack 上的集群
- OpenStack 安装配置参数
- 在 OCI 上安装
- 在 VMware vSphere 上安装
- 在任何平台上安装
- 安装配置
- 验证和故障排除
- 安装后配置
- 安装后配置概述
- 配置私有集群
- 在 OpenShift 集群上配置多架构计算机器
- 关于具有多架构计算机器的集群
- 在 Azure 上创建具有多架构计算机器的集群
- 在 AWS 上创建具有多架构计算机器的集群
- 在 GCP 上创建具有多架构计算机器的集群
- 在裸机、IBM Power 或 IBM Z 上创建具有多架构计算机器的集群
- 在使用 z/VM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 LPAR 中的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在使用 RHEL KVM 的 IBM Z 和 IBM LinuxONE 上创建具有多架构计算机器的集群
- 在 IBM Power 上创建具有多架构计算机器的集群
- 使用多架构计算机器管理您的集群
- 使用多架构调整操作符管理多架构集群上的工作负载
- 多架构调整操作符发行说明
- 集群任务
- 节点任务
- 安装后网络配置
- 配置镜像流和镜像注册表
- 存储配置
- 为用户做准备
- 更改云提供商凭据配置
- 配置警报通知
- 将连接的集群转换为断开连接的集群
- 更新集群
- 支持
- Web 控制台
- CLI 工具
- 安全和合规性
- 安全和合规性概述
- 容器安全
- 配置证书
- 证书类型和描述
- 合规性 Operator
- 文件完整性 Operator
- 安全配置文件 Operator
- NBDE Tang 服务器操作符
- 适用于 Red Hat OpenShift 的 cert-manager 操作符
- 适用于 Red Hat OpenShift 的 cert-manager 操作符概述
- 适用于 Red Hat OpenShift 的 cert-manager 操作符发行说明
- 安装适用于 Red Hat OpenShift 的 cert-manager 操作符
- 配置出站代理
- 使用 cert-manager 操作符 API 字段自定义 cert-manager
- 验证适用于 Red Hat OpenShift 的 cert-manager 操作符
- 配置 ACME 发行者
- 使用发行者配置证书
- 使用适用于 Red Hat OpenShift 的 cert-manager 操作符保护路由
- 监控适用于 Red Hat OpenShift 的 cert-manager 操作符
- 配置 cert-manager 和适用于 Red Hat OpenShift 的 cert-manager 操作符的日志级别
- 卸载适用于 Red Hat OpenShift 的 cert-manager 操作符
- 查看审计日志
- 配置审计日志策略
- 配置 TLS 安全配置文件
- 配置 seccomp 配置文件
- 允许来自其他主机的基于 JavaScript 的 API 服务器访问
- 加密 etcd 数据
- 扫描 Pod 中的漏洞
- 基于网络的磁盘加密 (NBDE)
- 身份验证和授权
- 网络
- 关于网络
- 理解网络
- 零信任网络
- 访问主机
- 网络仪表盘
- 网络操作符
- 网络安全
- 为手动 DNS 管理配置 Ingress 控制器
- 验证与端点的连接
- 更改集群网络 MTU
- 配置节点端口服务范围
- 配置集群网络 IP 地址范围
- 配置 IP 故障转移
- 使用调整插件配置系统控件和接口属性
- 使用流控制传输协议
- 使用精密时间协议硬件
- CIDR 范围定义
- 多个网络
- 硬件网络
- OVN-Kubernetes 网络插件
- 配置路由
- 配置入口集群流量
- Kubernetes NMState
- 配置集群范围代理
- 配置自定义 PKI
- OpenStack 上的负载均衡
- 使用 MetalLB 进行负载均衡
- 将辅助接口指标关联到网络连接
- 存储
- 存储概述
- 了解临时存储
- 了解持久性存储
- 配置持久性存储
- 使用容器存储接口 (CSI)
- 配置 CSI 卷
- CSI 内联临时卷
- 共享资源 CSI 驱动程序操作员
- CSI 卷快照
- CSI 卷克隆
- 管理默认存储类
- CSI 自动迁移
- 非优雅节点关闭后分离 CSI 卷
- AWS Elastic Block Store CSI 驱动程序操作员
- AWS Elastic File Service CSI 驱动程序操作员
- Azure 磁盘 CSI 驱动程序操作员
- Azure 文件 CSI 驱动程序操作员
- Azure Stack Hub CSI 驱动程序操作员
- GCP PD CSI 驱动程序操作员
- GCP Filestore CSI 驱动程序操作员
- IBM Cloud 块存储 (VPC) CSI 驱动程序操作员
- IBM Power 虚拟服务器块存储 CSI 驱动程序操作员
- OpenStack Cinder CSI 驱动程序操作员
- OpenStack Manila CSI 驱动程序操作员
- Secrets Store CSI 驱动程序操作员
- CIFS/SMB CSI 驱动程序操作员
- VMware vSphere CSI 驱动程序操作员
- 通用临时卷
- 扩展持久卷
- 动态供应
- 注册表
- 操作员
- 操作员概述
- 了解操作员
- 用户任务
- 管理员任务
- 开发操作员
- 集群 Operator 参考
- OLM v1(技术预览)
- 扩展
- CI/CD
- 镜像
- 构建应用程序
- 无服务器
- 机器配置
- 机器管理
- 托管控制平面
- 节点
- 节点概述
- 使用 Pod
- 使用自定义指标自动缩放器运算符自动缩放 Pod
- 控制 Pod 放置到节点上(调度)
- 使用作业和 DaemonSet
- 使用节点
- 使用容器
- 使用集群
- 网络边缘的远程工作节点
- 单节点 OpenShift 集群的工作节点
- 节点指标仪表盘
- 使用 sigstore 管理安全签名
- OpenShift 的 Windows 容器支持
- OpenShift 沙箱容器
- 可观察性
- 可扩展性和性能
- 边缘计算
- 远端网络边缘的挑战
- 准备中心集群以进行 ZTP
- 更新 GitOps ZTP
- 使用 RHACM 和 SiteConfig 资源安装托管集群
- 使用 GitOps ZTP 手动安装单节点 OpenShift 集群
- 推荐用于 vDU 应用程序工作负载的单节点 OpenShift 集群配置
- 验证用于 vDU 应用程序工作负载的集群调整
- 使用 SiteConfig 资源进行高级托管集群配置
- 使用 PolicyGenerator 资源管理集群策略
- 使用 PolicyGenTemplate 资源管理集群策略
- 在 PolicyGenerator 或 PolicyGenTemplate CR 中使用中心模板
- 使用拓扑感知生命周期管理器更新托管集群
- 使用 GitOps ZTP 扩展单节点 OpenShift 集群
- 预缓存单节点 OpenShift 部署的镜像
- 单节点 OpenShift 集群的基于镜像的升级
- 单节点 OpenShift 的基于镜像的安装
- 电信核心 CNF 集群的第 2 天运维
- 专用硬件和驱动程序启用
- 硬件加速器
- 备份和还原
- 从版本 3 迁移到版本 4
- 容器迁移工具包 (Migration Toolkit for Containers)
- API 参考
- API 概述
- 常用对象参考
- 授权 API
- 关于授权 API
- LocalResourceAccessReview [authorization.openshift.io/v1]
- LocalSubjectAccessReview [authorization.openshift.io/v1]
- ResourceAccessReview [authorization.openshift.io/v1]
- SelfSubjectRulesReview [authorization.openshift.io/v1]
- SubjectAccessReview [authorization.openshift.io/v1]
- SubjectRulesReview [authorization.openshift.io/v1]
- SelfSubjectReview [authentication.k8s.io/v1]
- TokenRequest [authentication.k8s.io/v1]
- TokenReview [authentication.k8s.io/v1]
- LocalSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectAccessReview [authorization.k8s.io/v1]
- SelfSubjectRulesReview [authorization.k8s.io/v1]
- SubjectAccessReview [authorization.k8s.io/v1]
- 自动伸缩 API
- 集群 API
- 配置 API
- 关于配置 API
- APIServer [config.openshift.io/v1]
- Authentication [config.openshift.io/v1]
- Build [config.openshift.io/v1]
- ClusterOperator [config.openshift.io/v1]
- ClusterVersion [config.openshift.io/v1]
- Console [config.openshift.io/v1]
- DNS [config.openshift.io/v1]
- FeatureGate [config.openshift.io/v1]
- HelmChartRepository [helm.openshift.io/v1beta1]
- Image [config.openshift.io/v1]
- ImageDigestMirrorSet [config.openshift.io/v1]
- ImageContentPolicy [config.openshift.io/v1]
- ImageTagMirrorSet [config.openshift.io/v1]
- Infrastructure [config.openshift.io/v1]
- Ingress [config.openshift.io/v1]
- Network [config.openshift.io/v1]
- Node [config.openshift.io/v1]
- OAuth [config.openshift.io/v1]
- OperatorHub [config.openshift.io/v1]
- Project [config.openshift.io/v1]
- ProjectHelmChartRepository [helm.openshift.io/v1beta1]
- Proxy [config.openshift.io/v1]
- Scheduler [config.openshift.io/v1]
- 控制台 API
- 关于控制台 API
- ConsoleCLIDownload [console.openshift.io/v1]
- ConsoleExternalLogLink [console.openshift.io/v1]
- ConsoleLink [console.openshift.io/v1]
- ConsoleNotification [console.openshift.io/v1]
- ConsolePlugin [console.openshift.io/v1]
- ConsoleQuickStart [console.openshift.io/v1]
- ConsoleSample [console.openshift.io/v1]
- ConsoleYAMLSample [console.openshift.io/v1]
- 扩展 API
- 关于扩展 API
- APIService [apiregistration.k8s.io/v1]
- CustomResourceDefinition [apiextensions.k8s.io/v1]
- MutatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicy [admissionregistration.k8s.io/v1]
- ValidatingAdmissionPolicyBinding [admissionregistration.k8s.io/v1]
- ValidatingWebhookConfiguration [admissionregistration.k8s.io/v1]
- 镜像 API
- 关于镜像 API
- Image [image.openshift.io/v1]
- ImageSignature [image.openshift.io/v1]
- ImageStreamImage [image.openshift.io/v1]
- ImageStreamImport [image.openshift.io/v1]
- ImageStreamLayers [image.openshift.io/v1]
- ImageStreamMapping [image.openshift.io/v1]
- ImageStream [image.openshift.io/v1]
- ImageStreamTag [image.openshift.io/v1]
- ImageTag [image.openshift.io/v1]
- SecretList [image.openshift.io/v1]
- 机器 API
- 关于机器 API
- ContainerRuntimeConfig [machineconfiguration.openshift.io/v1]
- ControllerConfig [machineconfiguration.openshift.io/v1]
- ControlPlaneMachineSet [machine.openshift.io/v1]
- KubeletConfig [machineconfiguration.openshift.io/v1]
- MachineConfig [machineconfiguration.openshift.io/v1]
- MachineConfigPool [machineconfiguration.openshift.io/v1]
- MachineHealthCheck [machine.openshift.io/v1beta1]
- Machine [machine.openshift.io/v1beta1]
- MachineSet [machine.openshift.io/v1beta1]
- 元数据 API
- 监控 API
- 关于监控 API
- Alertmanager [monitoring.coreos.com/v1]
- AlertmanagerConfig [monitoring.coreos.com/v1beta1]
- AlertRelabelConfig [monitoring.openshift.io/v1]
- AlertingRule [monitoring.openshift.io/v1]
- PodMonitor [monitoring.coreos.com/v1]
- Probe [monitoring.coreos.com/v1]
- Prometheus [monitoring.coreos.com/v1]
- PrometheusRule [monitoring.coreos.com/v1]
- ServiceMonitor [monitoring.coreos.com/v1]
- ThanosRuler [monitoring.coreos.com/v1]
- NodeMetrics [metrics.k8s.io/v1beta1]
- PodMetrics [metrics.k8s.io/v1beta1]
- 网络 API
- 关于网络 API
- AdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- AdminPolicyBasedExternalRoute [k8s.ovn.org/v1]
- BaselineAdminNetworkPolicy [policy.networking.k8s.io/v1alpha1]
- CloudPrivateIPConfig [cloud.network.openshift.io/v1]
- EgressFirewall [k8s.ovn.org/v1]
- EgressIP [k8s.ovn.org/v1]
- EgressQoS [k8s.ovn.org/v1]
- EgressService [k8s.ovn.org/v1]
- Endpoints [undefined/v1]
- EndpointSlice [discovery.k8s.io/v1]
- EgressRouter [network.operator.openshift.io/v1]
- Ingress [networking.k8s.io/v1]
- IngressClass [networking.k8s.io/v1]
- IPPool [whereabouts.cni.cncf.io/v1alpha1]
- MultiNetworkPolicy [k8s.cni.cncf.io/v1beta1]
- NetworkAttachmentDefinition [k8s.cni.cncf.io/v1]
- NetworkPolicy [networking.k8s.io/v1]
- OverlappingRangeIPReservation [whereabouts.cni.cncf.io/v1alpha1]
- PodNetworkConnectivityCheck [controlplane.operator.openshift.io/v1alpha1]
- Route [route.openshift.io/v1]
- Service [undefined/v1]
- 节点 API
- OAuth API
- 操作符 API
- 关于操作符 API
- Authentication [operator.openshift.io/v1]
- CloudCredential [operator.openshift.io/v1]
- ClusterCSIDriver [operator.openshift.io/v1]
- Console [operator.openshift.io/v1]
- Config [operator.openshift.io/v1]
- Config [imageregistry.operator.openshift.io/v1]
- Config [samples.operator.openshift.io/v1]
- CSISnapshotController [operator.openshift.io/v1]
- DNS [operator.openshift.io/v1]
- DNSRecord [ingress.operator.openshift.io/v1]
- Etcd [operator.openshift.io/v1]
- 镜像内容源策略 [operator.openshift.io/v1alpha1]
- 镜像清理程序 [imageregistry.operator.openshift.io/v1]
- Ingress 控制器 [operator.openshift.io/v1]
- Insights 运营商 [operator.openshift.io/v1]
- KubeAPIServer [operator.openshift.io/v1]
- KubeControllerManager [operator.openshift.io/v1]
- KubeScheduler [operator.openshift.io/v1]
- KubeStorageVersionMigrator [operator.openshift.io/v1]
- 机器配置 [operator.openshift.io/v1]
- 网络 [operator.openshift.io/v1]
- OpenShiftAPIServer [operator.openshift.io/v1]
- OpenShiftControllerManager [operator.openshift.io/v1]
- OperatorPKI [network.operator.openshift.io/v1]
- 服务CA [operator.openshift.io/v1]
- 存储 [operator.openshift.io/v1]
- OperatorHub APIs
- 关于 OperatorHub APIs
- CatalogSource [operators.coreos.com/v1alpha1]
- ClusterServiceVersion [operators.coreos.com/v1alpha1]
- InstallPlan [operators.coreos.com/v1alpha1]
- OLMConfig [operators.coreos.com/v1]
- Operator [operators.coreos.com/v1]
- OperatorCondition [operators.coreos.com/v2]
- OperatorGroup [operators.coreos.com/v1]
- PackageManifest [packages.operators.coreos.com/v1]
- Subscription [operators.coreos.com/v1alpha1]
- 策略 APIs
- 项目 APIs
- 供应 APIs
- 关于供应 APIs
- BMCEventSubscription [metal3.io/v1alpha1]
- 裸金属主机 [metal3.io/v1alpha1]
- 数据镜像 [metal3.io/v1alpha1]
- 固件模式 [metal3.io/v1alpha1]
- 硬件数据 [metal3.io/v1alpha1]
- 主机固件组件 [metal3.io/v1alpha1]
- 主机固件设置 [metal3.io/v1alpha1]
- Metal3修复 [infrastructure.cluster.x-k8s.io/v1beta1]
- Metal3修复模板 [infrastructure.cluster.x-k8s.io/v1beta1]
- 预配置镜像 [metal3.io/v1alpha1]
- 供应 [metal3.io/v1alpha1]
- RBAC APIs
- 角色 APIs
- 调度和配额 APIs
- 关于调度和配额 APIs
- AppliedClusterResourceQuota [quota.openshift.io/v1]
- ClusterResourceQuota [quota.openshift.io/v1]
- FlowSchema [flowcontrol.apiserver.k8s.io/v1]
- LimitRange [undefined/v1]
- PriorityClass [scheduling.k8s.io/v1]
- PriorityLevelConfiguration [flowcontrol.apiserver.k8s.io/v1]
- ResourceQuota [undefined/v1]
- 安全 APIs
- 关于安全 APIs
- CertificateSigningRequest [certificates.k8s.io/v1]
- CredentialsRequest [cloudcredential.openshift.io/v1]
- PodSecurityPolicyReview [security.openshift.io/v1]
- PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- PodSecurityPolicySubjectReview [security.openshift.io/v1]
- RangeAllocation [security.openshift.io/v1]
- Secret [undefined/v1]
- SecurityContextConstraints [security.openshift.io/v1]
- ServiceAccount [undefined/v1]
- 存储 APIs
- 关于存储 APIs
- CSIDriver [storage.k8s.io/v1]
- CSINode [storage.k8s.io/v1]
- CSIStorageCapacity [storage.k8s.io/v1]
- PersistentVolume [undefined/v1]
- PersistentVolumeClaim [undefined/v1]
- StorageClass [storage.k8s.io/v1]
- StorageState [migration.k8s.io/v1alpha1]
- StorageVersionMigration [migration.k8s.io/v1alpha1]
- VolumeAttachment [storage.k8s.io/v1]
- VolumeSnapshot [snapshot.storage.k8s.io/v1]
- VolumeSnapshotClass [snapshot.storage.k8s.io/v1]
- VolumeSnapshotContent [snapshot.storage.k8s.io/v1]
- 模板 APIs
- 用户和组 APIs
- 工作负载 APIs
- 关于工作负载 APIs
- BuildConfig [build.openshift.io/v1]
- 构建 [build.openshift.io/v1]
- 构建日志 [build.openshift.io/v1]
- 构建请求 [build.openshift.io/v1]
- CronJob [batch/v1]
- DaemonSet [apps/v1]
- Deployment [apps/v1]
- DeploymentConfig [apps.openshift.io/v1]
- DeploymentConfigRollback [apps.openshift.io/v1]
- DeploymentLog [apps.openshift.io/v1]
- DeploymentRequest [apps.openshift.io/v1]
- Job [batch/v1]
- Pod [undefined/v1]
- ReplicationController [undefined/v1]
- ReplicaSet [apps/v1]
- StatefulSet [apps/v1]
- Lightspeed
- 服务网格
- 服务网格 3.x
- 服务网格 2.x
- 关于 OpenShift 服务网格
- 服务网格 2.x 版本说明
- 升级服务网格
- 理解服务网格
- 服务网格部署模型
- 服务网格和 Istio 的区别
- 准备安装服务网格
- 安装 Operators
- 创建 ServiceMeshControlPlane
- 将服务添加到服务网格
- 启用 sidecar 注射
- 管理用户和配置文件
- 安全
- 流量管理
- 网关迁移
- 路由迁移
- 指标、日志和跟踪
- 性能和可扩展性
- 部署到生产环境
- 联合
- 扩展
- OpenShift 服务网格控制台插件
- 2.1 版的 3scale WebAssembly
- 2.0 版的 3scale Istio 适配器
- 服务网格故障排除
- 控制平面配置参考
- Kiali 配置参考
- Jaeger 配置参考
- 卸载服务网格
- 服务网格 1.x
- 虚拟化
×
使用 NFS 的持久化存储
配置
在将存储作为 OpenShift Container Platform 中的卷挂载之前,存储必须存在于底层基础架构中。要配置 NFS 卷,只需要 NFS 服务器和导出路径的列表。
步骤
-
为 PV 创建对象定义
1 卷的名称。这是各种 oc <command> pod命令中的 PV 标识。2 分配给此卷的存储量。 3 虽然这似乎与控制对卷的访问有关,但它实际上与标签类似,用于将 PVC 与 PV 匹配。目前,不根据 accessModes强制执行任何访问规则。4 正在使用的卷类型,在本例中为 nfs插件。5 NFS 服务器导出的路径。 6 NFS 服务器的主机名或 IP 地址。 7 PV 的回收策略。这定义了释放卷时会发生什么。 每个 NFS 卷都必须可由集群中的所有可调度节点挂载。
-
验证是否已创建 PV
$ oc get pv示例输出NAME LABELS CAPACITY ACCESSMODES STATUS CLAIM REASON AGE pv0001 <none> 5Gi RWO Available 31s -
创建绑定到新 PV 的持久卷声明
apiVersion: v1 kind: PersistentVolumeClaim metadata: name: nfs-claim1 spec: accessModes: - ReadWriteOnce (1) resources: requests: storage: 5Gi (2) volumeName: pv0001 storageClassName: ""1 访问模式不强制执行安全性,而是充当将 PV 与 PVC 匹配的标签。 2 此声明查找提供 **5Gi** 或更大容量的 PV。 -
验证是否已创建持久卷声明
$ oc get pvc示例输出NAME STATUS VOLUME CAPACITY ACCESS MODES STORAGECLASS AGE nfs-claim1 Bound pv0001 5Gi RWO 2m
强制执行磁盘配额
您可以使用磁盘分区来强制执行磁盘配额和大小限制。每个分区可以是它自己的导出。每个导出是一个 PV。OpenShift Container Platform 强制执行 PV 的唯一名称,但 NFS 卷的服务器和路径的唯一性取决于管理员。
通过这种方式强制执行配额允许开发人员请求特定数量的持久存储,例如 10Gi,并与容量相等或更大的相应卷匹配。
NFS 卷安全性
本节介绍 NFS 卷安全性,包括匹配权限和 SELinux 注意事项。预计用户了解 POSIX 权限、进程 UID、补充组和 SELinux 的基础知识。
开发人员通过按名称引用 PVC 或直接在 Pod 定义的 volumes 部分中引用 NFS 卷插件来请求 NFS 存储。
NFS服务器上的/etc/exports文件包含可访问的NFS目录。目标NFS目录具有POSIX所有者和组ID。OpenShift Container Platform NFS插件以与导出的NFS目录上相同的POSIX所有权和权限挂载容器的NFS目录。但是,容器不会以其有效UID等于NFS挂载点的所有者来运行,这才是理想的行为。
例如,如果目标NFS目录在NFS服务器上显示为:
$ ls -lZ /opt/nfs -d示例输出
drwxrws---. nfsnobody 5555 unconfined_u:object_r:usr_t:s0 /opt/nfs$ id nfsnobody示例输出
uid=65534(nfsnobody) gid=65534(nfsnobody) groups=65534(nfsnobody)那么容器必须匹配SELinux标签,并且要么以65534(nfsnobody所有者)的UID运行,要么在其补充组中具有5555才能访问该目录。
|
所有者ID |
组ID
假设无法更改NFS导出的权限,处理NFS访问的推荐方法是使用补充组。OpenShift Container Platform中的补充组用于共享存储,NFS就是一个例子。相比之下,诸如iSCSI之类的块存储使用fsGroup SCC策略和pod的securityContext中的fsGroup值。
|
为了访问持久性存储,通常最好使用补充组ID而不是用户ID。 |
因为示例目标NFS目录上的组ID是5555,所以pod可以使用pod的securityContext定义中的supplementalGroups定义该组ID。例如:
spec:
containers:
- name:
...
securityContext: (1)
supplementalGroups: [5555] (2)| 1 | securityContext必须在pod级别定义,而不是在特定容器下定义。 |
| 2 | 为pod定义的GID数组。在本例中,数组中只有一个元素。其他GID将用逗号分隔。 |
假设没有可能满足pod要求的自定义SCC,pod可能匹配restricted SCC。此SCC将supplementalGroups策略设置为RunAsAny,这意味着任何提供的组ID都会被接受,无需范围检查。
因此,上述pod通过准入并启动。但是,如果需要组ID范围检查,则自定义SCC是首选解决方案。可以创建一个自定义SCC,以便定义最小和最大组ID,强制执行组ID范围检查,并允许组ID 5555。
|
要使用自定义SCC,必须首先将其添加到相应的服务帐户。例如,除非在 |
用户ID
用户ID可以在容器镜像或Pod定义中定义。
|
通常最好使用补充组ID来访问持久性存储,而不是使用用户ID。 |
在上例所示的目标NFS目录中,容器需要将其UID设置为65534(暂时忽略组ID),因此可以将以下内容添加到Pod定义中:
spec:
containers: (1)
- name:
...
securityContext:
runAsUser: 65534 (2)| 1 | Pod包含每个容器特有的securityContext定义以及应用于pod中所有定义的容器的pod的securityContext。 |
| 2 | 65534是nfsnobody用户。 |
假设项目是default并且SCC是restricted,则pod请求的65534用户ID不被允许。因此,pod由于以下原因而失败:
-
它请求
65534作为其用户ID。 -
检查所有可用于pod的SCC,以查看哪个SCC允许用户ID为
65534。虽然会检查所有SCC的策略,但此处重点关注用户ID。 -
因为所有可用的SCC都对其
runAsUser策略使用MustRunAsRange,所以需要UID范围检查。 -
65534不包含在SCC或项目的用户ID范围内。
通常认为不修改预定义的SCC是一种良好的实践。解决此问题的首选方法是创建一个自定义SCC。可以创建一个自定义SCC,以便定义最小和最大用户ID,仍然强制执行UID范围检查,并允许UID 65534。
|
要使用自定义SCC,必须首先将其添加到相应的服务帐户。例如,除非在 |
SELinux
Red Hat Enterprise Linux (RHEL) 和 Red Hat Enterprise Linux CoreOS (RHCOS) 系统默认配置为在远程NFS服务器上使用SELinux。
对于非RHEL和非RHCOS系统,SELinux不允许pod写入远程NFS服务器。NFS卷挂载正确,但它是只读的。您需要使用以下步骤启用正确的SELinux权限。
先决条件
-
必须安装
container-selinux软件包。此软件包提供virt_use_nfsSELinux布尔值。
步骤
-
使用以下命令启用
virt_use_nfs布尔值。-P选项使此布尔值在重新启动后保持不变。# setsebool -P virt_use_nfs 1
导出设置
要使任意容器用户能够读取和写入卷,NFS服务器上的每个导出的卷都应符合以下条件:
-
每个导出都必须使用以下格式导出:
/<example_fs> *(rw,root_squash) -
必须配置防火墙以允许访问挂载点的流量。
-
对于NFSv4,配置默认端口
2049(**nfs**)。NFSv4# iptables -I INPUT 1 -p tcp --dport 2049 -j ACCEPT -
对于NFSv3,需要配置三个端口:
2049(**nfs**)、20048(**mountd**)和111(**portmapper**)。NFSv3# iptables -I INPUT 1 -p tcp --dport 2049 -j ACCEPT# iptables -I INPUT 1 -p tcp --dport 20048 -j ACCEPT# iptables -I INPUT 1 -p tcp --dport 111 -j ACCEPT
-
-
必须设置NFS导出和目录,以便目标pod可以访问它们。将导出设置为由容器的主UID拥有,或者使用
supplementalGroups提供pod组访问权限,如上文组ID部分所示。
回收资源
NFS实现OpenShift Container Platform的Recyclable插件接口。自动流程根据每个持久卷上设置的策略处理回收任务。
默认情况下,PV设置为Retain。
一旦删除了对PVC的声明,并且释放了PV,则不应重用PV对象。相反,应该创建一个新的PV,其基本卷细节与原始卷相同。
例如,管理员创建一个名为nfs1的PV。
apiVersion: v1
kind: PersistentVolume
metadata:
name: nfs1
spec:
capacity:
storage: 1Mi
accessModes:
- ReadWriteMany
nfs:
server: 192.168.1.1
path: "/"用户创建PVC1,它绑定到nfs1。然后用户删除PVC1,释放对nfs1的声明。这导致nfs1被Released。如果管理员想要使相同的NFS共享可用,他们应该创建一个新的PV,使用相同的NFS服务器细节,但使用不同的PV名称。
apiVersion: v1
kind: PersistentVolume
metadata:
name: nfs2
spec:
capacity:
storage: 1Mi
accessModes:
- ReadWriteMany
nfs:
server: 192.168.1.1
path: "/"不建议删除原始PV并使用相同的名称重新创建它。尝试手动将PV的状态从Released更改为Available会导致错误和潜在的数据丢失。
其他配置和故障排除
根据使用的NFS版本及其配置方式,可能需要其他配置步骤才能进行正确的导出和安全映射。以下是一些可能适用的步骤:
NFSv4挂载错误地显示所有文件的所有者为 |
|
禁用 NFSv4 上的 ID 映射 |
|