Merge pull request #39980 from windsonsea/hostpr

k8s-ci-robot · web-flow · commit 970acc46ff7d · 2023-03-14T23:56:14.000-07:00
[zh] sync create-hostprocess-pod.md
diff --git a/content/zh-cn/docs/tasks/configure-pod-container/create-hostprocess-pod.md b/content/zh-cn/docs/tasks/configure-pod-container/create-hostprocess-pod.md
@@ -1,20 +1,19 @@
 ---
 title: 创建 Windows HostProcess Pod
 content_type: task
-weight: 20
+weight: 50
 min-kubernetes-server-version: 1.23
 ---
-
 <!--
 title: Create a Windows HostProcess Pod
 content_type: task
-weight: 20
+weight: 50
 min-kubernetes-server-version: 1.23
 -->
 
 <!-- overview -->
 
-{{< feature-state for_k8s_version="v1.23" state="beta" >}}
+{{< feature-state for_k8s_version="v1.26" state="stable" >}}
 
 <!--
 Windows HostProcess containers enable you to run containerized
@@ -49,8 +48,8 @@ images taking up space on the node. HostProcess containers also support
 [volume mounts](#volume-mounts) within the container volume.
 -->
 类似于安装安全补丁、事件日志收集等这类管理性质的任务可以在不需要集群操作员登录到每个
-Windows 节点的前提下执行。HostProcess 容器可以以主机上存在的任何用户账户来运行，
-也可以以主机所在域中的用户账户运行，这样管理员可以通过用户许可权限来限制资源访问。
+Windows 节点的前提下执行。HostProcess 容器可以以主机上存在的任何用户账号来运行，
+也可以以主机所在域中的用户账号运行，这样管理员可以通过用户许可权限来限制资源访问。
 尽管文件系统和进程隔离都不支持，在启动容器时会在主机上创建一个新的卷，
 为其提供一个干净的、整合的工作空间。HostProcess 容器也可以基于现有的 Windows
 基础镜像来制作，并且不再有 Windows 服务器容器所带有的那些
@@ -102,23 +101,6 @@ kubelet 会直接与 containerd 通信，通过 CRI 将主机进程标志传递
 你可以使用 containerd 的最新版本（v1.6+）来运行 HostProcess 容器。
 参阅[如何安装 containerd](/zh-cn/docs/setup/production-environment/container-runtimes/#containerd)。
 
-<!--
-To *disable* HostProcess containers you need to pass the following feature gate flag to the
-**kubelet** and **kube-apiserver**:
--->
-要 *禁用* HostProcess 容器特性，你需要为 **kubelet** 和 **kube-apiserver**
-设置下面的特性门控标志：
-
-```powershell
---feature-gates=WindowsHostProcessContainers=false
-```
-
-<!--
-See [Features Gates](/docs/reference/command-line-tools-reference/feature-gates/#overview)
-documentation for more details.
--->
-进一步的细节可参阅[特性门控](/zh-cn/docs/reference/command-line-tools-reference/feature-gates/#overview)文档。
-
 <!--
 ## Limitations
 
@@ -130,17 +112,19 @@ These limitations are relevant for Kubernetes v{{< skew currentVersion >}}:
 
 <!--
 - HostProcess containers require containerd 1.6 or higher
-  {{< glossary_tooltip text="container runtime" term_id="container-runtime" >}}.
+  {{< glossary_tooltip text="container runtime" term_id="container-runtime" >}} and
+  containerd 1.7 is recommended.
 - HostProcess pods can only contain HostProcess containers. This is a current limitation
   of the Windows OS; non-privileged Windows containers cannot share a vNIC with the host IP namespace.
 - HostProcess containers run as a process on the host and do not have any degree of
   isolation other than resource constraints imposed on the HostProcess user account. Neither
   filesystem or Hyper-V isolation are supported for HostProcess containers.
 -->
 - HostProcess 容器需要 containerd 1.6 或更高版本的
-  {{< glossary_tooltip text="容器运行时" term_id="container-runtime" >}}。
+  {{< glossary_tooltip text="容器运行时" term_id="container-runtime" >}}，
+  推荐 containerd 1.7。
 - HostProcess Pods 只能包含 HostProcess 容器。这是在 Windows 操作系统上的约束；
-  非特权的 Windows 容器不能与主机 IP 名字空间共享虚拟网卡（vNIC）。 
+  非特权的 Windows 容器不能与主机 IP 名字空间共享虚拟网卡（vNIC）。
 - HostProcess 在主机上以一个进程的形式运行，除了通过 HostProcess
   用户账号所实施的资源约束外，不提供任何形式的隔离。HostProcess 容器不支持文件系统或
   Hyper-V 隔离。
@@ -155,7 +139,7 @@ These limitations are relevant for Kubernetes v{{< skew currentVersion >}}:
   be accessed via their path on the host (e.g. \\\\.\\pipe\\\*)
 -->
 - 卷挂载是被支持的，并且要花在到容器卷下。参见[卷挂载](#volume-mounts)。
-- 默认情况下有一组主机用户账户可供 HostProcess 容器使用。
+- 默认情况下有一组主机用户账号可供 HostProcess 容器使用。
   参见[选择用户账号](#choosing-a-user-account)。
 - 对资源约束（磁盘、内存、CPU 个数）的支持与主机上进程相同。
 - **不支持**命名管道或者 UNIX 域套接字形式的挂载，需要使用主机上的路径名来访问
@@ -208,10 +192,8 @@ HostProcess 运行在与 privileged 模式相看齐的策略下。
     <tr>
       <td style="white-space: nowrap"><a href="/zh-cn/docs/concepts/security/pod-security-standards"><tt>hostNetwork</tt></a></td>
       <td>
-        <p><!--Will be in host network by default initially. Support
-        to set network to a different compartment may be desirable in
-        the future.-->
-        初始时将默认位于主机网络中。在未来可能会希望将网络设置到不同的隔离环境中。
+        <p><!--Pods container HostProcess containers must use the host's network namespace.-->
+        Pod 容器 HostProcess 容器必须使用主机的网络名字空间。
         </p>
         <p><strong><!--Allowed Values-->可选值</strong></p>
         <ul>
@@ -220,7 +202,7 @@ HostProcess 运行在与 privileged 模式相看齐的策略下。
       </td>
     </tr>
     <tr>
-      <td style="white-space: nowrap"><a href="/zh-cn/docs/tasks/configure-pod-container/configure-runasusername/"><tt>securityContext.windowsOptions.runAsUsername</tt></a></td>
+      <td style="white-space: nowrap"><a href="/zh-cn/docs/tasks/configure-pod-container/configure-runasusername/"><tt>securityContext.windowsOptions.runAsUserName</tt></a></td>
       <td>
         <p><!--Specification of which user the HostProcess container should run as is required for the pod spec.-->
         关于 HostProcess 容器所要使用的用户的规约，需要设置在 Pod 的规约中。
@@ -230,6 +212,10 @@ HostProcess 运行在与 privileged 模式相看齐的策略下。
           <li><code>NT AUTHORITY\SYSTEM</code></li>
           <li><code>NT AUTHORITY\Local service</code></li>
           <li><code>NT AUTHORITY\NetworkService</code></li>
+          <li>
+          <!-- Local usergroup names (see below) -->
+          本地用户组名称（参见下文）
+          </li>
         </ul>
       </td>
     </tr>
@@ -276,30 +262,57 @@ spec:
 ## Volume mounts
 
 HostProcess containers support the ability to mount volumes within the container volume space.
+Volume mount behavior differs depending on the version of containerd runtime used by on the node.
+-->
+## 卷挂载    {#volume-mounts}
+
+HostProcess 容器支持在容器卷空间中挂载卷的能力。
+卷挂载行为将因节点所使用的 containerd 运行时版本而异。
+
+<!--
+### Containerd v1.6
+
 Applications running inside the container can access volume mounts directly via relative or
 absolute paths. An environment variable `$CONTAINER_SANDBOX_MOUNT_POINT` is set upon container
 creation and provides the absolute host path to the container volume. Relative paths are based
 upon the `.spec.containers.volumeMounts.mountPath` configuration.
+
+To access service account tokens (for example) the following path structures are supported within the container:
 -->
-## 卷挂载    {#volume-mounts}
+### containerd v1.6
 
-HostProcess 容器支持在容器卷空间中挂载卷的能力。
 在容器内运行的应用能够通过相对或者绝对路径直接访问卷挂载。
 环境变量 `$CONTAINER_SANDBOX_MOUNT_POINT` 在容器创建时被设置为指向容器卷的绝对主机路径。
 相对路径是基于 `.spec.containers.volumeMounts.mountPath` 配置来推导的。
 
+容器内支持通过下面的路径结构来访问服务账号令牌：
+
+- `.\var\run\secrets\kubernetes.io\serviceaccount\`
+- `$CONTAINER_SANDBOX_MOUNT_POINT\var\run\secrets\kubernetes.io\serviceaccount\`
+
 <!--
-### Example {#volume-mount-example}
+### Containerd v1.7 (and greater)
 
-To access service account tokens the following path structures are supported within the container:
+Applications running inside the container can access volume mounts directly via the volumeMount's
+specified `mountPath` (just like Linux and non-HostProcess Windows containers).
 -->
-### 示例    {#volume-mount-example}
+### containerd v1.7（及更高版本）   {#containerd-v1.7-and-greater}
 
-容器内支持通过下面的路径结构来访问服务账好令牌：
+容器内运行的应用可以通过 volumeMount 指定的 `mountPath` 直接访问卷挂载
+（就像 Linux 和非 HostProcess Windows 容器一样）。
 
-`.\var\run\secrets\kubernetes.io\serviceaccount\`
+<!--
+For backwards compatibility volumes can also be accessed via using the same relative paths configured by containerd v1.6.
 
-`$CONTAINER_SANDBOX_MOUNT_POINT\var\run\secrets\kubernetes.io\serviceaccount\`
+As an example, to access service account tokens within the container you would use one of the following paths:
+-->
+为了向后兼容性，卷也可以通过使用由 containerd v1.6 配置的相同相对路径进行访问。
+
+例如，要在容器中访问服务帐户令牌，你将使用以下路径之一：
+
+- `c:\var\run\secrets\kubernetes.io\serviceaccount`
+- `/var/run/secrets/kubernetes.io/serviceaccount/`
+- `$CONTAINER_SANDBOX_MOUNT_POINT\var\run\secrets\kubernetes.io\serviceaccount\`
 
 <!--
 ## Resource limits
@@ -311,9 +324,9 @@ These limits would be specified the same way they are currently for whatever orc
 or runtime is being used. The only difference is in the disk resource usage calculation
 used for resource tracking due to the difference in how HostProcess containers are bootstrapped.
 -->
-## 资源约束    {#resource-limits}
+## 资源限制    {#resource-limits}
 
-资源约束（磁盘、内存、CPU 个数）作用到任务之上，并在整个任务上起作用。
+资源限制（磁盘、内存、CPU 个数）作用到任务之上，并在整个任务上起作用。
 例如，如果内存限制设置为 10MB，任何 HostProcess 任务对象所分配的内存不会超过 10MB。
 这一行为与其他 Windows 容器类型相同。资源限制的设置方式与编排系统或容器运行时无关。
 唯一的区别是用来跟踪资源所进行的磁盘资源用量的计算，出现差异的原因是因为
@@ -322,11 +335,15 @@ HostProcess 容器启动引导的方式造成的。
 <!--
 ## Choosing a user account
 
-HostProcess containers support the ability to run as one of three supported Windows service accounts:
+### System accounts
+
+By default, HostProcess containers support the ability to run as one of three supported Windows service accounts:
 -->
 ## 选择用户账号  {#choosing-a-user-account}
 
-HostProcess 容器支持以三种被支持的 Windows 服务账号之一来运行：
+### 系统账号   {#system-accounts}
+
+默认情况下，HostProcess 容器支持以三种被支持的 Windows 服务账号之一来运行：
 
 - **[LocalSystem](https://docs.microsoft.com/windows/win32/services/localsystem-account)**
 - **[LocalService](https://docs.microsoft.com/windows/win32/services/localservice-account)**
@@ -344,3 +361,104 @@ use the LocalService service account as it is the least privileged of the three
 在三者之中最高，只有在绝对需要的时候才应该使用。只要可能，应该使用
 LocalService 服务账号，因为该账号在三者中特权最低。
 
+<!--
+### Local accounts {#local-accounts}
+
+If configured, HostProcess containers can also run as local user accounts which allows for node operators to give
+fine-grained access to workloads.
+-->
+### 本地账号   {#local-accounts}
+
+取决于配置，HostProcess 容器也能够以本地用户账号运行，
+从而允许节点操作员为工作负载提供细粒度的访问权限。
+
+<!--
+To run HostProcess containers as a local user; A local usergroup must first be created on the node
+and the name of that local usergroup must be specified in the `runAsUserName` field in the deployment.
+Prior to initializing the HostProcess container, a new **ephemeral** local user account to be created and joined to the specified usergroup, from which the container is run.
+This provides a number a benefits including eliminating the need to manage passwords for local user accounts.
+An initial HostProcess container running as a service account can be used to
+prepare the user groups for later HostProcess containers.
+-->
+要以本地用户运行 HostProcess 容器，必须首先在节点上创建一个本地用户组，
+并在部署中在 `runAsUserName` 字段中指定该本地用户组的名称。
+在初始化 HostProcess 容器之前，将创建一个新的**临时**本地用户账号，并加入到指定的用户组中，
+使用这个账号来运行容器。这样做有许多好处，包括不再需要管理本地用户账号的密码。
+作为服务账号运行的初始 HostProcess 容器可用于准备用户组，以供后续的 HostProcess 容器使用。
+
+{{< note >}}
+<!--
+Running HostProcess containers as local user accounts requires containerd v1.7+
+-->
+以本地用户账号运行 HostProcess 容器需要 containerd v1.7+。
+{{< /note >}}
+
+<!--
+Example:
+
+1. Create a local user group on the node (this can be done in another HostProcess container).
+-->
+例如：
+
+1. 在节点上创建本地用户组（这可以在另一个 HostProcess 容器中完成）。
+
+   ```cmd
+   net localgroup hpc-localgroup /add
+   ```
+
+<!--
+1. Grant access to desired resources on the node to the local usergroup.
+   This can be done with tools like [icacls](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/icacls).
+-->
+2. 为本地用户组授予访问所需资源的权限。这可以通过使用
+   [icacls](https://learn.microsoft.com/zh-cn/windows-server/administration/windows-commands/icacls)
+   这类工具达成。
+
+<!--
+1. Set `runAsUserName` to the name of the local usergroup for the pod or individual containers.
+-->
+3. 针对 Pod 或个别容器，将 `runAsUserName` 设置为本地用户组的名称。
+
+   ```yaml
+   securityContext:
+     windowsOptions:
+       hostProcess: true
+       runAsUserName: hpc-localgroup
+   ```
+
+<!--
+1. Schedule the pod!
+-->
+4. 调度 Pod！
+
+<!--
+## Base Image for HostProcess Containers
+
+HostProcess containers can be built from any of the existing [Windows Container base images](https://learn.microsoft.com/virtualization/windowscontainers/manage-containers/container-base-images).
+
+Additionally a new base mage has been created just for HostProcess containers!
+For more information please check out the [windows-host-process-containers-base-image github project](https://github.com/microsoft/windows-host-process-containers-base-image#overview).
+-->
+## HostProcess 容器的基础镜像   {#base-image-for-hostprocess-containers}
+
+HostProcess 容器可以基于任何现有的
+[Windows Container 基础镜像](https://learn.microsoft.com/zh-cn/virtualization/windowscontainers/manage-containers/container-base-images)进行构建。
+
+此外，还专为 HostProcess 容器创建了一个新的基础镜像！有关更多信息，请查看
+[windows-host-process-containers-base-image github 项目](https://github.com/microsoft/windows-host-process-containers-base-image#overview)。
+
+<!--
+## Troubleshooting HostProcess containers
+
+- HostProcess containers fail to start with `failed to create user process token: failed to logon user: Access is denied.: unknown`
+
+  Ensure containerd is running as `LocalSystem` or `LocalService` service accounts. User accounts (even Administrator accounts) do not have permissions to create logon tokens for any of the supported [user accounts](#choosing-a-user-account).
+-->
+## HostProcess 容器的故障排查   {#troubleshooting-hostprocess-containers}
+
+- HostProcess 容器因
+  `failed to create user process token: failed to logon user: Access is denied.: unknown`
+  启动失败。
+
+  确保 containerd 以 `LocalSystem` 或 `LocalService` 服务帐户运行。
+  用户账号（即使是管理员账号）没有权限为任何支持的[用户账号](#choosing-a-user-account)创建登录令牌。
