核心问题 #

1. 非挂载卷场景：/DIR1并非挂载卷时，能否让Group 1拥有WRITE权限，Group 2仅拥有READ甚至无访问权限？
2. 挂载卷场景：若/DIR1为挂载卷，上述配置逻辑是否变化？

用户已探索的思路及疑问 #

• RoleBindings：仅针对K8s资源权限控制，无法作用于容器内特定目录，不符合需求
• 不能完全移除Group 2的所有角色，需保留其Pod故障排查权限
• Dockerfile中chmod/chown：不确定如何关联多组访问需求，比如Group 1和Group 3都需访问时，能否将目录归属给多个组？

解决方案 #

一、非挂载卷（镜像内目录）场景：可实现精细化权限控制 #

此场景完全遵循Linux文件系统权限逻辑，结合Dockerfile构建配置与K8s Security Context即可实现需求：

1. Dockerfile中预配置用户组与目录权限

   • 创建用户组与用户：

     RUN groupadd -g 1001 group1 && groupadd -g 1002 group2 && groupadd -g 1003 group3
     RUN useradd -u 2001 -g 1001 user1 && useradd -u 2002 -g 1002 user2 && useradd -u 2003 -g 1003 user3
     

   • 创建/DIR1并设置基础权限：

     RUN mkdir -p /DIR1
     # 目录主组设为group1，赋予group1读写执行权限，group2无权限（若要给group2读权限，可将权限改为755）
     RUN chown :1001 /DIR1 && chmod 750 /DIR1
     

   • 多组访问需求：Linux不支持文件/目录直接归属多个主组，可通过ACL（访问控制列表） 实现：

     # 安装acl工具（alpine用apk add acl，debian/ubuntu用apt-get install acl）
     RUN apt-get update && apt-get install -y acl
     # 给group3添加读/写权限
     RUN setfacl -m g:1003:rw /DIR1
     

2. K8s Pod中指定运行身份
   通过Security Context指定容器运行用户，或让用户以对应组身份登录容器（如kubectl exec -it <pod> -- su - user1），组权限会直接映射到目录：

   spec:
     containers:
     - name: app-container
       image: your-custom-image
       securityContext:
         # 默认以user1（group1）身份运行，拥有/DIR1写权限
         runAsUser: 2001
         runAsGroup: 1001
         # 若需进程同时属于多个组，补充supplementalGroups
         supplementalGroups: [1003]
   

二、挂载卷场景：逻辑基本一致，需注意卷权限特性 #

挂载卷的权限控制核心仍为Linux文件系统规则，但需关注两个要点：

1. 卷的初始权限配置
   emptyDir、hostPath、PVC等卷的初始权限由存储提供者决定，可通过Pod的fsGroup让卷内文件自动归属指定组：

   spec:
     securityContext:
       # 挂载卷后，卷内文件组自动设为group1的GID（1001）
       fsGroup: 1001
     containers:
     - name: app-container
       image: your-image
       volumeMounts:
       - name: dir1-volume
         mountPath: /DIR1
     volumes:
     - name: dir1-volume
       persistentVolumeClaim:
         claimName: dir1-pvc
   

   多组权限仍可通过ACL实现，可将setfacl命令写入容器启动脚本，或用Init容器预先配置。

2. 存储端权限覆盖
   部分存储（如NFS）自带服务器端权限控制，容器内的权限配置会被存储端规则覆盖，需配合存储服务器的ACL或权限设置一同调整。

关于RoleBindings的说明 #

RoleBindings仅用于控制K8s资源（如Pod、Deployment）的访问权限，与容器内文件系统权限分属不同层面，无法用于目录读写权限控制。

多组权限配置补充 #

通过ACL可精准控制任意多组的访问权限，例如让group1读写、group2只读、group3无权限：

setfacl -m g:1001:rw /DIR1
setfacl -m g:1002:r /DIR1
setfacl -m g:1003:- /DIR1

内容的提问来源于stack exchange，提问作者C L