Rancher Local Path Provisioner 中 SELinux 导致的持久卷目录清理问题解析

问题背景

在使用 Rancher Local Path Provisioner（本地路径供应器）时，当 Kubernetes 集群启用了 SELinux 安全模块，用户可能会遇到持久卷（PV）目录无法被正确清理的问题。这个问题在 Local Path Provisioner 的 0.27 版本中曾被修复，但在后续的 0.28-0.30 版本中又出现了回归。

技术原理分析

Local Path Provisioner 的工作原理是为每个 PVC（持久卷声明）在节点本地创建目录作为存储卷。当 PVC 被删除时，供应器会启动一个辅助 Pod（helper pod）来清理这些目录。在 SELinux 环境下，这个清理过程可能会因为安全上下文不匹配而失败。

核心问题在于：

1. SELinux 会为每个容器和进程分配安全上下文标签
2. 新创建的辅助 Pod 与原始 Pod 的安全上下文不匹配
3. 导致辅助 Pod 无法访问和删除原始 Pod 创建的文件和目录

解决方案

通过为辅助 Pod 配置适当的安全上下文可以解决这个问题。具体方法是在 Local Path Provisioner 的 ConfigMap 中添加 SELinux 安全配置：

apiVersion: v1
kind: ConfigMap
metadata:
  name: local-path-config
  namespace: kube-system
data:
  helperPod.yaml: |-
    apiVersion: v1
    kind: Pod
    metadata:
      name: helper-pod
    spec:
      containers:
      - name: helper-pod
        image: rancher/mirrored-library-busybox:1.36.1
        securityContext:
          seLinuxOptions:
            level: s0-s0:c0.c1023
      securityContext:
        seLinuxOptions:
          level: s0-s0:c0.c1023

关键配置说明：

1. seLinuxOptions.level: s0-s0:c0.c1023 设置了宽松的 SELinux 安全级别
2. 需要在 Pod 级别和容器级别都配置安全上下文
3. 使用 busybox 镜像作为辅助容器

实施注意事项

1. 修改 ConfigMap 后必须重启 Local Path Provisioner 的 Pod 才能使配置生效
2. 安全级别 s0-s0:c0.c1023 是一个相对宽松的配置，在生产环境中应根据实际安全需求调整
3. 建议在测试环境中验证配置效果后再应用到生产环境

问题排查技巧

如果问题仍然存在，可以检查以下方面：

1. 确认辅助 Pod 的实际安全上下文是否与配置一致
2. 检查 kubelet 日志中是否有 SELinux 相关的拒绝记录
3. 使用 ls -Z 命令检查持久卷目录的安全上下文
4. 确认 Local Path Provisioner 的版本是否在受影响范围内（0.28-0.30）

总结

SELinux 是 Linux 的重要安全机制，但有时会与容器化应用产生冲突。通过合理配置安全上下文，可以在保持安全性的同时确保 Local Path Provisioner 的正常功能。这个问题也提醒我们，在升级系统组件时需要注意安全相关的配置变更，并进行充分的测试验证。