Skip to content

Commit 4d14b97

Browse files
windsonseawindsonsea
committed
[zh-cn] resync kubelet-in-userns.md
1 parent 3ff48fe commit 4d14b97

File tree

1 file changed

+20
-22
lines changed

1 file changed

+20
-22
lines changed

content/zh-cn/docs/tasks/administer-cluster/kubelet-in-userns.md

Lines changed: 20 additions & 22 deletions
Original file line numberDiff line numberDiff line change
@@ -1,15 +1,13 @@
11
---
2-
title: 以非root用户身份运行 Kubernetes 节点组件
2+
title: 以非 root 用户身份运行 Kubernetes 节点组件
33
content_type: task
44
min-kubernetes-server-version: 1.22
55
---
66

77
<!--
8-
---
98
title: Running Kubernetes Node Components as a Non-root User
109
content_type: task
1110
min-kubernetes-server-version: 1.22
12-
---
1311
-->
1412

1513
<!-- overview -->
@@ -32,7 +30,7 @@ If you are just looking for how to run a pod as a non-root user, see [SecurityCo
3230
这个文档描述了怎样不使用 root 特权,而是通过使用 {{< glossary_tooltip text="用户命名空间" term_id="userns" >}}
3331
去运行 Kubernetes 节点组件(例如 kubelet、CRI、OCI、CNI)。
3432

35-
这种技术也叫做 _rootless 模式(Rootless mode)_
33+
这种技术也叫做 **rootless 模式(Rootless mode)**
3634

3735
{{< note >}}
3836
这个文档描述了怎么以非 root 用户身份运行 Kubernetes 节点组件以及 Pod。
@@ -55,7 +53,7 @@ If you are just looking for how to run a pod as a non-root user, see [SecurityCo
5553

5654
{{% version-check %}}
5755

58-
* [启用 Cgroup v2](https://rootlesscontaine.rs/getting-started/common/cgroup2/)
56+
* [启用 cgroup v2](https://rootlesscontaine.rs/getting-started/common/cgroup2/)
5957
* [在 systemd 中启用 user session](https://rootlesscontaine.rs/getting-started/common/login/)
6058
* [根据不同的 Linux 发行版,配置 sysctl 的值](https://rootlesscontaine.rs/getting-started/common/sysctl/)
6159
* [确保你的非特权用户被列在 `/etc/subuid``/etc/subgid` 文件中](https://rootlesscontaine.rs/getting-started/common/subuid/)
@@ -74,11 +72,12 @@ See [Running kind with Rootless Docker](https://kind.sigs.k8s.io/docs/user/rootl
7472
7573
### minikube
7674
77-
[minikube](https://minikube.sigs.k8s.io/) also supports running Kubernetes inside Rootless Docker.
75+
[minikube](https://minikube.sigs.k8s.io/) also supports running Kubernetes inside Rootless Docker or Rootless Podman.
7876
79-
See the page about the [docker](https://minikube.sigs.k8s.io/docs/drivers/docker/) driver in the Minikube documentation.
77+
See the Minikube documentation:
8078
81-
Rootless Podman is not supported.
79+
* [Rootless Docker](https://minikube.sigs.k8s.io/docs/drivers/docker/)
80+
* [Rootless Podman](https://minikube.sigs.k8s.io/docs/drivers/podman/)
8281
-->
8382

8483
## 使用 Rootless 模式的 Docker/Podman 运行 Kubernetes
@@ -91,13 +90,12 @@ Rootless Podman is not supported.
9190

9291
### minikube
9392

94-
[minikube](https://minikube.sigs.k8s.io/) 也支持使用 Rootless 模式的 Docker 运行 Kubernetes。
95-
96-
请参阅 Minikube 文档中的 [docker](https://minikube.sigs.k8s.io/docs/drivers/docker/) 驱动页面。
93+
[minikube](https://minikube.sigs.k8s.io/) 也支持使用 Rootless 模式的 Docker 或 Podman 运行 Kubernetes。
9794

98-
它不支持 Rootless 模式的 Podman。
95+
请参阅 Minikube 文档:
9996

100-
<!-- Supporting rootless podman is discussed in https://github.com/kubernetes/minikube/issues/8719 -->
97+
* [Rootless Docker](https://minikube.sigs.k8s.io/docs/drivers/docker/)
98+
* [Rootless Podman](https://minikube.sigs.k8s.io/docs/drivers/podman/)
10199

102100
<!--
103101
## Running Kubernetes inside Unprivileged Containers
@@ -140,7 +138,7 @@ the container plus several other advanced OS virtualization techniques.
140138
-->
141139

142140
Sysbox 支持在非特权容器内运行 Kubernetes,
143-
而不需要 Cgroup v2 和 “KubeletInUserNamespace” 特性门控。
141+
而不需要 cgroup v2 和 “KubeletInUserNamespace” 特性门控。
144142
Sysbox 通过在容器内暴露特定的 `/proc``/sys` 文件系统,
145143
以及其它一些先进的操作系统虚拟化技术来实现。
146144

@@ -251,18 +249,18 @@ At least, the following directories need to be writable *in* the namespace (not
251249

252250
在取消命名空间的共享之后,你也必须对其它的命名空间例如 mount 命名空间取消共享。
253251

254-
在取消 mount 命名空间的共享之后,你**需要调用 `chroot()` 或者 `pivot_root()`
255-
但是你必须*在这个命名空间内*挂载可写的文件系统到几个目录上。
252+
在取消 mount 命名空间的共享之后,你****需要调用 `chroot()` 或者 `pivot_root()`
253+
但是你必须**在这个命名空间内**挂载可写的文件系统到几个目录上。
256254

257-
请确保*这个命名空间内*(不是这个命名空间外部)至少以下几个目录是可写的:
255+
请确保**这个命名空间内**(不是这个命名空间外部)至少以下几个目录是可写的:
258256

259257
- `/etc`
260258
- `/run`
261259
- `/var/logs`
262260
- `/var/lib/kubelet`
263261
- `/var/lib/cni`
264-
- `/var/lib/containerd` (参照 containerd )
265-
- `/var/lib/containers` (参照 CRI-O )
262+
- `/var/lib/containerd` (参照 containerd)
263+
- `/var/lib/containers` (参照 CRI-O)
266264

267265
<!--
268266
### Creating a delegated cgroup tree
@@ -340,7 +338,7 @@ containerd or CRI-O and ensure that it is running within the user namespace befo
340338
Pod 的网络命名空间可以使用常规的 CNI 插件配置。对于多节点的网络,已知 Flannel (VXLAN、8472/UDP) 可以正常工作。
341339

342340
诸如 kubelet 端口(10250/TCP)和 `NodePort` 服务端口之类的端口必须通过外部端口转发器
343-
(例如 RootlessKit、 slirp4netns 或
341+
(例如 RootlessKit、slirp4netns 或
344342
[socat(1)](https://linux.die.net/man/1/socat)) 从节点网络命名空间暴露给主机。
345343

346344
你可以使用 K3s 的端口转发器。更多细节请参阅
@@ -577,8 +575,8 @@ on the rootlesscontaine.rs website.
577575
## 注意事项 {#caveats}
578576

579577
- 大部分“非本地”的卷驱动(例如 `nfs` 和 `iscsi`)不能正常工作。
580-
已知诸如 `local`、`hostPath`、`emptyDir`、`configMap`、`secret` 和 `downwardAPI`
581-
这些本地卷是能正常工作的。
578+
已知诸如 `local`、`hostPath`、`emptyDir`、`configMap`、`secret` 和 `downwardAPI`
579+
这些本地卷是能正常工作的。
582580

583581
- 一些 CNI 插件可能不正常工作。已知 Flannel (VXLAN) 是能正常工作的。
584582

0 commit comments

Comments
 (0)