Cómo implementar bitnami/kafka en un clúster de OpenShift
Estoy intentando implementar el Helm Chart de bitnami/kafka
en el clúster de Codeready Containers OpenShift.
He creado un nuevo proyecto “kafka”, agregué la siguiente scc a la cuenta de servicio y luego implementé el release de helm de bitnami:
$ oc new-project kafka
$ oc adm policy add-scc-to-user anyuid system:serviceaccount:kafka:default
$ helm install kafka -f values.yaml bitnami/kafka
El pod de kafka-zookeeper se inicia normalmente, sin embargo, el pod de kafka no se está iniciando y reporta el siguiente evento:
'create Pod kafka-0 in StatefulSet kafka failed error: pods "kafka-0" is forbidden: unable to validate against any security context constraint: [provider "anyuid": Forbidden: not usable by user or serviceaccount, provider restricted: .spec.securityContext.fsGroup: Invalid value: []int64{1001}: 1001 is not an allowed group, spec.containers[0].securityContext.runAsUser: Invalid value: 1001: must be in the ranges: [1000680000, 1000689999], provider "nonroot": Forbidden: not usable by user or serviceaccount, provider "hostmount-anyuid": Forbidden: not usable by user or serviceaccount, provider "machine-api-termination-handler": Forbidden: not usable by user or serviceaccount, provider "hostnetwork": Forbidden: not usable by user or serviceaccount, provider "hostaccess": Forbidden: not usable by user or serviceaccount, provider "node-exporter": Forbidden: not usable by user or serviceaccount, provider "privileged": Forbidden: not usable by user or serviceaccount]'
¿Alguien sabe cómo implementar el Helm Chart de Kafka en el clúster de OpenShift?
¿Hay alguna otra configuración de seguridad necesaria en la cuenta de servicio?
Gracias.
davy.ai
Para implementar el Helm Chart
bitnami/kafka
en un clúster de Codeready Containers OpenShift, es necesario agregar más configuraciones de seguridad a la cuenta de servicio.Una posible solución es actualizar el contexto de seguridad de la cuenta de servicio
default
, permitiéndole ejecutarse con un ID de grupo específico y un rango de ID de usuario. Esto se puede hacer utilizando el siguiente comando:Además, puede ser necesario actualizar las restricciones de contexto de seguridad (SCCs) predeterminadas del proyecto
kafka
para permitir que la cuenta de serviciodefault
utilice la restricción de contexto de seguridadanyuid
. Esto se puede hacer con el siguiente comando:Después de aplicar estos cambios, se debe volver a ejecutar el comando
helm install
:Esto debería permitir que el Helm Chart de Kafka se implemente correctamente en el clúster de OpenShift.