首页 > 其他分享 >k8s 使用crio,pod ip无法ssh登录,无法使用ping命令

k8s 使用crio,pod ip无法ssh登录,无法使用ping命令

时间:2023-06-02 16:35:14浏览次数:72  
标签:crio io ip ping SYS ssh https pod

使用crio容器运行时,部署ssh pod后,ssh [email protected] 后,出现 connection reset by 127.0.0.1 port 22. 但是telnet 显示能通,

在pod中 ping 其他pod 出现 socket: Operation  not  permitted, 权限问题。

通过测试 在contianerd 与 docker 没出现这个问题, 基本上与crio 有关了。通过crio配置文件,没有相关配置, 

通过官网查看,在API Chanage中有提到:

 

CRI-O 现在运行没有NET_RAW和SYS_CHROOT功能的容器。当容器尝试执行需要这些功能之一的操作时,这可能会导致权限被拒绝错误。

解决方式

在deployment.spec.containers.securityContext.capabilities 添加

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo-4
spec:
  containers:
  - name: sec-ctx-4
    image: gcr.io/google-samples/node-hello:1.0
    securityContext:
      capabilities:
        add: ["NET_ADMIN", "SYS_TIME","NET_RAW","SYS_CHROOT"]

 

 

 

 

参考:

https://cri-o.github.io/cri-o/v1.18.0.html#SnippetTab

https://man7.org/linux/man-pages/man7/capabilities.7.html

 https://kubernetes.io/zh-cn/docs/tasks/configure-pod-container/security-context/

标签:crio,io,ip,ping,SYS,ssh,https,pod
From: https://www.cnblogs.com/fengjian2016/p/17452169.html

相关文章

  • eclipse集成Java性能分析神器JProfiler
    JProfiler是一款功能强大的Java开发分析工具,能帮助从事编程工作的朋友们分析你们的代码数据,确定内存泄漏并了解线程问题。1、下载JProfilerhttps://www.ej-technologies.com/download/jprofiler/files可以根据系统位数选择具体版本的JProfiler2、安装JProfiler下载绿色版本JPro......
  • 传奇如何封玩家IP?如何通过关键词过滤玩家消息?
    相信挺多开服的GM多多少少有遇到几个胡搅蛮缠的玩家,不充值要求还多,这种玩家留着也影响开服心情,所以今天就给大家分享一个封玩家IP和关键词的方法要想封玩家的IP,需要先知道那个玩家的IP,打开传奇引擎,找到一个网关,页面如下图,点击查看,在线人物,就可以看到正在玩的玩家信息,找到那个玩家,可......
  • python3 -m pip install --upgrade的作用
    `python3-mpipinstall--upgrade`是一个命令行指令,用于升级Python包管理器(pip)已安装的包。具体来说,命令的不同部分的含义如下:-`python3`:这是一个命令,用于在命令行中运行Python解释器。-`-mpip`:这是一个Python的内置模块,用于管理Python包的安装和卸载。-`inst......
  • 为何大数据行业离不开HTTP代理IP
    大数据行业需要从各种互联网数据源中抓取、分析和处理大量的数据,然而这些互联网数据源往往会对访问进行限制,例如IP限制、流量限制或访问频率限制等。这时,HTTP代理IP就成为了大数据行业中不可或缺的工具之一。具体来说,HTTP代理在大数据行业发挥着以下几个重要作用:1、突破IP限制:部分......
  • The 'Access-Control-Allow-Origin' header contains multiple values'*, *', but onl
    报错内容The'Access-Control-Allow-Origin'headercontainsmultiplevalues'*,http://192.168.237.131',butonlyoneisallowed.Havetheserversendtheheaderwithavalidvalue,or,ifanopaqueresponseservesyourneeds,setthereque......
  • pip国内源设置
    前言pip默认都是从国外的数据源下载,因此会面临下载速度慢,甚至无法下载的情况。对此,就需要一个国内源来下载,速度会快很多。常用国内源清华大学https://pypi.tuna.tsinghua.edu.cn/simple中国科技大学https://pypi.mirrors.ustc.edu.cn/simple/阿里云http://mirrors.aliyu......
  • 7-Zip 和 WinRAR 两者都是非常流行的压缩软件,下面对它们的一些方面进行比较
    7-Zip和WinRAR两者都是非常流行的压缩软件,下面对它们的一些方面进行比较:压缩率:7-Zip在一般情况下具有更高的压缩率,并且支持许多高级压缩算法,如LZMA、LZMA2、PPMd、Bzip2等。而WinRAR虽然也拥有强大的压缩能力,但相对于7-Zip的压缩率要稍微逊色。支持文件类型:7-Zip支持......
  • TypeError: 'dict_keys' object is not subscriptable
     001、python报错>>>dict1={"aa":300,"bb":500,"cc":400,"dd":700}>>>dict1{'aa':300,'bb':500,'cc':400,'dd':700}>>>dict1.keys()dict_ke......
  • linux下查看IP域名端口的网络是否相通命令
     linux查看IP、域名、端口的网络是否相通1.ping#检索当前域名对应的IP地址ping域名#查看IP是否相通pingIP2.tlenet#查看指定IP的端口是否相通,http默认端口为80,https默认端口为443telnetip/域名port3.wget#查看地址是否可以链接wgetip:端口4.nslo......
  • nginx的IP封禁
    在ngnix的conf目录下创建一个blockip.conf文件里面放需要封禁的IP,格式如下deny1.2.3.4;在ngnix的HTTP的配置中添加如下内容includeblockips.conf;重启ngnix/usr/local/nginx/sbin/nginx-sreload然后你就会看到IP被封禁了,你会喜提403;小思考:如何实现使用ngnix自动封禁ip的功能1.......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99