你一定很奇怪，明明進入容器內，可以看到是root用戶啊，為什么還要設置容器的root權限？這是因為容器內雖然看起來是root，但是卻沒有root的所有功能。當需要修改系統文件時，就不被允許。如果你的app恰好就要去修改系統文件，那么就需要明白如何設置容器的root權限。 想要開啟容器的root權限，需要做以下操作: 1. kube-apiserver 開啟 privileged 參數 ```shell $ ps -ef | grep [k]ube-apiserver root 19484 19462 14 12:34 ? 00:19:34 kube-apiserver --advertise-address=192.168.32.182 --allow-privileged=true --authorization-mode=Node,RBAC --client-ca-file=/etc/kubernetes/pki/ca.crt --enable-admission-plugins=NodeRestriction --enable-bootstrap-token-auth=true --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key --etcd-servers=https://127.0.0.1:2379 --insecure-port=0 --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key --requestheader-allowed-names=front-proxy-client --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt --requestheader-extra-headers-prefix=X-Remote-Extra- --requestheader-group-headers=X-Remote-Group --requestheader-username-headers=X-Remote-User --secure-port=6443 --service-account-key-file=/etc/kubernetes/pki/sa.pub --service-cluster-ip-range=10.96.0.0/12 --tls-cert-file=/etc/kubernetes/pki/apiserver.crt --tls-private-key-file=/etc/kubernetes/pki/apiserver.key ``` > 可以看到 `--allow-privileged=true` 已經開啟root權限。 2. 資源文件添加 securityContext 參數 ```yaml spec: containers: securityContext: privileged: true capabilities: add: ["SYS_ADMIN"] runAsUser: 0 ``` > `securityContext` 參數在 `deployment.spec.template.spec.containers` 下的