如果沒有為已驗證使用者設定網繭安全性原則和角色型存取控制,則可能會發生容器部署錯誤。

問題

您將容器工作負載部署到 TKG 2.0 叢集中,該工作負載不會啟動。此時會顯示類似下列內容的錯誤:

Error: container has runAsNonRoot and image will run as root.

原因

TKG 叢集是在已啟用 PodSecurityPolicy 許可控制器的情況下進行佈建。在叢集管理員將 PodSecurityPolicy 繫結至經驗證的使用者之前,沒有任何經驗證的使用者可以建立具特殊權限或不具特殊權限的網繭。

解決方案

如果使用的是 TKR 1.24 或更早版本,請建立預設 PodSecurityPolicy 的相應繫結,或定義自訂 PodSecurityPolicy。如果使用的是 TKR 1.25 或更新版本,請設定網繭安全性許可。請參閱管理 TKG 服務叢集的安全性