chown：更改“/data/db”的所有权：不允许操作

Question

我们可以使用 nfs 卷插件来维护 kubernetes 集群之间的高可用性和灾难恢复吗？

我正在使用 MongoDB 运行 pod。得到错误

chown：更改“/data/db”的所有权：不允许操作。

云任何机构，请建议我如何解决错误？ （或）

是否有任何替代卷插件可用于在 kubernetes 集群中实现 HA-DR？

Answer 1

chown：更改“/data/db”的所有权：不允许操作。

您需要以 root 的身份启动 mongo 容器，以便 可以 chown 目录，或者如果图像禁止它（因为某些图像已经有 @987654323 @ 子句禁止容器将权限升级回root），然后是以下两种情况之一：在containers: 中使用securityContext 节取代用户或使用initContainer: 抢先将目标文件夹更改为mongo UID：

方法#1：

containers:
- name: mongo
  image: mongo:something
  securityContext:
    runAsUser: 0

（这可能需要更改集群的配置以允许此类内容出现在 PodSpec 中）

方法 #2（这是我用于 Elasticsearch 图像的方法）：

initContainers:
- name: chmod-er
  image: busybox:latest
  command:
  - /bin/chown
  - -R
  - "1000"  # or whatever the mongo UID is, use string "1000" not 1000 due to yaml
  - /data/db
  volumeMounts:
  - name: mongo-data  # or whatever
    mountPath: /data/db
containers:
- name: mongo  # then run your container as before

Answer 2

/data/db 是一个挂载点，即使您没有在此处显式挂载卷。数据被持久化到特定于 pod 的覆盖层中。 Kubernetes 将所有卷挂载为 0755 root.root，无论该目录最初的权限是什么。 当然 mongo 不能这样。

如果你将卷挂载在 /data/db 下面的某个地方，你会得到同样的错误。

如果您将上面的卷挂载到 /data，数据将不会存储在 NFS 上，因为 /data/db 的挂载点将写入覆盖。但是你不会再收到这个错误了。

Answer 3

通过在部署清单中添加command:["mongod"]，它将覆盖默认入口点脚本并阻止执行 chown。

...
    spec:
      containers:
      - name: mongodb
        image: mongo:4.4.0-bionic
        command: ["mongod"]
...