你一定很奇怪，明明进入容器内，可以看到是root用户啊，为什么还要设置容器的root权限？这是因为容器内虽然看起来是root，但是却没有root的所有功能。当需要修改系统文件时，就不被允许。如果你的app恰好就要去修改系统文件，那么就需要明白如何设置容器的root权限。 想要开启容器的root权限，需要做以下操作: 1. kube-apiserver 开启 privileged 参数 ```shell $ ps -ef | grep [k]ube-apiserver root 19484 19462 14 12:34 ? 00:19:34 kube-apiserver --advertise-address=192.168.32.182 --allow-privileged=true --authorization-mode=Node,RBAC --client-ca-file=/etc/kubernetes/pki/ca.crt --enable-admission-plugins=NodeRestriction --enable-bootstrap-token-auth=true --etcd-cafile=/etc/kubernetes/pki/etcd/ca.crt --etcd-certfile=/etc/kubernetes/pki/apiserver-etcd-client.crt --etcd-keyfile=/etc/kubernetes/pki/apiserver-etcd-client.key --etcd-servers=https://127.0.0.1:2379 --insecure-port=0 --kubelet-client-certificate=/etc/kubernetes/pki/apiserver-kubelet-client.crt --kubelet-client-key=/etc/kubernetes/pki/apiserver-kubelet-client.key --kubelet-preferred-address-types=InternalIP,ExternalIP,Hostname --proxy-client-cert-file=/etc/kubernetes/pki/front-proxy-client.crt --proxy-client-key-file=/etc/kubernetes/pki/front-proxy-client.key --requestheader-allowed-names=front-proxy-client --requestheader-client-ca-file=/etc/kubernetes/pki/front-proxy-ca.crt --requestheader-extra-headers-prefix=X-Remote-Extra- --requestheader-group-headers=X-Remote-Group --requestheader-username-headers=X-Remote-User --secure-port=6443 --service-account-key-file=/etc/kubernetes/pki/sa.pub --service-cluster-ip-range=10.96.0.0/12 --tls-cert-file=/etc/kubernetes/pki/apiserver.crt --tls-private-key-file=/etc/kubernetes/pki/apiserver.key ``` > 可以看到 `--allow-privileged=true` 已经开启root权限。 2. 资源文件添加 securityContext 参数 ```yaml spec: containers: securityContext: privileged: true capabilities: add: ["SYS_ADMIN"] runAsUser: 0 ``` > `securityContext` 参数在 `deployment.spec.template.spec.containers` 下的