1 votes

guettli avatar

Signification de : supplementalGroups : [ 65534 ] ?

Demandé el 27 de Mars, 2022
Quand la question a-t-elle été
92 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je regarde ce yaml

apiVersion: apps/v1
kind: Deployment
metadata:
  name: kube-dns-autoscaler
  namespace: kube-system
  labels:
    k8s-app: kube-dns-autoscaler
    kubernetes.io/cluster-service: "true"
spec:
  selector:
    matchLabels:
      k8s-app: kube-dns-autoscaler
  template:
    metadata:
      labels:
        k8s-app: kube-dns-autoscaler
    spec:
      priorityClassName: system-cluster-critical
      securityContext:
        seccompProfile:
          type: RuntimeDefault
        supplementalGroups: [ 65534 ]
        fsGroup: 65534
      nodeSelector:
        kubernetes.io/os: linux
      containers:
      - name: autoscaler
        image: k8s.gcr.io/cpa/cluster-proportional-autoscaler:1.8.4
        resources:
            requests:
                cpu: "20m"
                memory: "10Mi"
        command:
          - /cluster-proportional-autoscaler
          - --namespace=kube-system
          - --configmap=kube-dns-autoscaler
          # Should keep target in sync with cluster/addons/dns/kube-dns.yaml.base
          - --target=<SCALE_TARGET>
          # When cluster is using large nodes(with more cores), "coresPerReplica" should dominate.
          # If using small nodes, "nodesPerReplica" should dominate.
          - --default-params={"linear":{"coresPerReplica":256,"nodesPerReplica":16,"preventSinglePointFailure":true,"includeUnschedulableNodes":true}}
          - --logtostderr=true
          - --v=2

Source : https://kubernetes.io/docs/tasks/administer-cluster/dns-horizontal-autoscaling/#enablng-dns-horizontal-autoscaling

Où puis-je trouver la documentation relative à ces chiffres magiques ?

        supplementalGroups: [ 65534 ]
        fsGroup: 65534
Demandé el 27 de Mars, 2022 par guettli

Réponse

Trop de publicités?

2voto

Mykola avatar
Mykola Points 21

Où puis-je trouver la documentation relative à ces chiffres magiques ?

Il provient des Utilisateurs, Groupes, UIDs et GIDs sur les systèmes systemd. Ici, vous pouvez travailler avec différents paramètres et aussi des gammes plus d'informations à propos de systems UID/GID.

UIDs spéciaux pour Linux En théorie, l'étendue du type C uid_t est large de 32 bits sous Linux, c'est-à-dire 0 4294967295. Cependant, quatre UIDs sont spéciaux sur Linux :

  1. 0 Le root super-utilisateur

  2. 65534 Le nobody UID, également appelé UID "overflow" ou similaire. C'est l'endroit où divers sous-systèmes mappent les utilisateurs non applicables, par exemple les systèmes de fichiers ne supportant que les UIDs 16 bits, NFS ou l'espacement des noms d'utilisateurs. (Ce dernier peut être changé avec un sysctl pendant l'exécution, mais ce n'est pas supporté sur systemd . Si vous le modifiez, vous annulez votre garantie). Parce que Fedora est un peu confus le nobody L'utilisateur est appelé nfsnobody là-bas (et ils ont une nobody utilisateur à l'UID 99). J'espère que cela sera corrigé par la suite. (De plus, certaines distributions appellent le nobody groupe nogroup . Je souhaite qu'ils ne le fassent pas.)

  3. 4294967295, alias "32bit". (uid_t) -1 " Cet UID n'est pas un identifiant d'utilisateur valide, car setresuid() , chown() et ses amis traitent -1 comme une demande spéciale pour ne pas changer l'UID du processus/fichier. Cet UID n'est donc pas disponible pour être attribué aux utilisateurs dans la base de données des utilisateurs.

  4. 65535, alias "16bit (uid_t) -1 " Avant le noyau Linux 2.4 uid_t était autrefois de 16 bits, et les programmes compilés pour cela supposaient donc que (uid_t) -1 est de 65535. Cet UID n'est donc pas non plus utilisable.

Eh bien, nous avons des paramètres dans Kubernetes et nous allons décrire ce que c'est :

SupplementalGroups - Contrôle les ID de groupe que les conteneurs ajoutent.

  • MustRunAs - Il faut au moins un range à spécifier. Utilise la valeur minimale de la première plage comme valeur par défaut. Valide par rapport à toutes les plages.
  • MayRunAs - Il faut au moins un range à spécifier. Permet à supplementalGroups pour être laissée non définie sans fournir une valeur par défaut. Valide par rapport à toutes les plages si supplementalGroups est réglé.
  • RunAsAny - Aucun défaut n'est fourni. Permet à tout supplementalGroups à spécifier.

FSGroup - Contrôle le groupe supplémentaire appliqué à certains volumes.

  • MustRunAs - Il faut au moins un range à spécifier. Utilise la valeur minimale de la première plage comme valeur par défaut. Valide par rapport à toutes les plages.
  • MayRunAs - Il faut au moins un range à spécifier. Permet à FSGroups pour être laissée non définie sans fournir une valeur par défaut. Valide par rapport à toutes les plages si FSGroups est réglé.
  • RunAsAny - Aucun défaut n'est fourni. Permet à tout fsGroup ID à spécifier.
Répondu el 29 de Mars, 2022 par Mykola (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X