#Служба инференса не переходит в состояние Running

#Описание проблемы

После развертывания службы инференса она длительное время остается в состоянии, отличном от running. Соответствующий Pod не создается в разделе Workloads платформы Alauda Container Platform. Однако связанный ресурс Deployment был успешно создан.

В разделе Real-time Events для Deployment наблюдается похожее сообщение об ошибке:

FailedCreate: Error creating: pods "gpt2-predictor-f677f684f-sjwq7" is forbidden: violates PodSecurity "baseline:latest": host namespaces (hostIPC=true)

#Анализ причины

Данная проблема вызвана механизмом Pod Security Admission, который включен в вашем Kubernetes-кластере с ограничительной политикой безопасности. Когда Pod службы инференса пытается использовать привилегированные возможности, такие как пространства имен хоста (например, через hostIPC=true), политика блокирует его создание для предотвращения потенциальных уязвимостей безопасности.

В этом конкретном случае использование hostIPC=true нарушает стандарт Pod Security "baseline", который явно запрещает использование пространств имен хоста для обеспечения изоляции Pod.

#Решения

Для устранения проблемы сначала рекомендуется проверить конфигурацию службы инференса. Если вашему runtime не требуется строго привилегированный режим, например hostIPC: true, самым безопасным решением будет изменить конфигурацию workload и убрать эти требования к привилегиям. Это решит проблему без ущерба для безопасности.

Если вашему workload действительно необходимы эти привилегированные возможности, выполните следующие шаги для изменения уровня политики безопасности:

1. Перейдите в представление Projects и выберите Project, содержащий вашу службу инференса.
2. В списке Namespace найдите namespace, в котором размещена служба, и нажмите кнопку "..." справа в строке.
3. В выпадающем меню выберите Update Pod Security Admission.
4. В появившемся окне установите для всех трех режимов безопасности (Enforce, Audit и Warn) значение Privileged.
5. Нажмите Update для сохранения изменений.

#Итог

Ошибка запуска Pod службы инференса обычно связана с нарушением политики безопасности namespace. Изменив уровень Pod Security Admission для namespace на Privileged, вы разрешите создание и успешный запуск Pod службы инференса.