k8s

2026-01-22 02:54:30 +01:00
parent b9a94143b3
commit 5122969bd5
3 changed files with 44 additions and 24 deletions
--- a/helm/tls-sync-wildcard/ops/templates/cronjob.yaml
+++ b/helm/tls-sync-wildcard/ops/templates/cronjob.yaml
@@ -25,31 +25,23 @@ spec:
            image: {{ .Values.tlsSync.image.repository }}:{{ .Values.tlsSync.image.tag }}
            imagePullPolicy: {{ .Values.tlsSync.image.pullPolicy }}
            securityContext:
-              runAsUser: 0  # Nécessaire pour installer jq avec zypper/yum/apt-get
+              runAsNonRoot: true
+              runAsUser: 1000
+              allowPrivilegeEscalation: false
+              readOnlyRootFilesystem: false  # Nécessaire pour /tmp
+              capabilities:
+                drop:
+                  - ALL
            command:
            - /bin/bash
            - -c
            - |
              set -e
              
-              # Installer jq si nécessaire (pour SLE)
+              # Vérifier que jq est disponible (doit être dans l'image)
              if ! command -v jq &> /dev/null; then
-                echo "Installation de jq..."
-                if command -v zypper &> /dev/null; then
-                  zypper --non-interactive install -y jq || echo "⚠️  Impossible d'installer jq avec zypper"
-                elif command -v yum &> /dev/null; then
-                  yum install -y jq || echo "⚠️  Impossible d'installer jq avec yum"
-                elif command -v apt-get &> /dev/null; then
-                  apt-get update && apt-get install -y jq || echo "⚠️  Impossible d'installer jq avec apt-get"
-                else
-                  echo "❌ Aucun gestionnaire de paquets trouvé pour installer jq"
-                  exit 1
-                fi
-              fi
-              
-              # Vérifier que jq est maintenant disponible
-              if ! command -v jq &> /dev/null; then
-                echo "❌ Erreur: jq n'est pas disponible et n'a pas pu être installé"
+                echo "❌ Erreur: jq n'est pas disponible dans l'image"
+                echo "   Utilisez une image qui contient jq (ex: alpine/k8s, bitnami/kubectl, ou créez une image personnalisée)"
                exit 1
              fi
              
@@ -63,14 +55,16 @@ spec:
                --sourceNS "{{ .Values.tlsSync.sourceNamespace }}"
            volumeMounts:
            - name: kubeconfig
-              mountPath: /root/.kube
+              mountPath: /home/user/.kube
              readOnly: true
            - name: script
              mountPath: /scripts
              readOnly: true
            env:
            - name: KUBECONFIG
-              value: /root/.kube/config
+              value: /home/user/.kube/config
+            - name: HOME
+              value: /home/user
            resources:
 {{- toYaml .Values.tlsSync.resources | nindent 14 }}
          volumes: